Deux vulnérabilités graves découvertes dans le matériel d’Intel

Deux vulnérabilités graves découvertes dans le matériel d’Intel

Deux vulnérabilités graves ont été découvertes dans les puces Intel ; toutes deux pourraient permettre à des attaquants de mettre la main sur des informations sensibles d’applications en accédant à la mémoire centrale. La première vulnérabilité, Meltdown, peut supprimer la barrière entre les applications utilisateur et les parties sensibles du système d’exploitation. La seconde vulnérabilité que l’on trouve également dans les puces AMD et ARM, Spectre, peut tromper les applications vulnérables en les amenant à divulguer le contenu de leur mémoire.

Les applications installées sur un périphérique fonctionnent généralement en  » mode utilisateur « , loin des parties les plus sensibles du système d’exploitation. Si une application a besoin d’accéder à une zone sensible, par exemple le l’unité d’exploitation, le réseau ou le disque sous-jacent, elle doit demander la permission d’utiliser le  » mode protégé « . Dans le cas de Meltdown, un attaquant pouvait accéder au mode protégé et à la mémoire centrale sans demander d’autorisation, en supprimant ainsi la barrière, ce qui le rendait potentiellement capable de voler des données de la mémoire des applications en cours d’exécution, comme les données des gestionnaires de mots de passe, des navigateurs, des services de messagerie, des photos et des documents.

Comme ce sont des bogues matériels, les correctifs représentent un travail important. Des correctifs contre Meltdown ont été lancés pour Linux, Windows et OS X, et on travaille encore pour renforcer les logiciels contre de futures exploitations de Spectre. Il est essentiel que les utilisateurs installent tous les correctifs disponibles sans délai. Vous trouverez plus d’informations ici. Il faudra du temps aux attaquants pour comprendre comment exploiter les vulnérabilités, ce qui fournit une fenêtre de protection courte, mais critique.

Source: Antivirus

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *