Mi-mars, des chercheurs avaient repéré des failles dans les processeurs Intel.
Cette semaine, Intel admet dans un PDF que certains de ses défauts ne pourraient être corrigés complètement car ils résident dans un problème d’architecture du processeur. Le fabricant a arrêté la production de 9 types de produits : Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale et Yorkfield.
Ces puces, pour la plupart anciennes, ont été mises en vente entre 2007 et 2011, et ne recevront plus de mises à jour de microcodes, laissant plus de 230 modèles de processeurs Intel vulnérables aux pirates informatiques qui alimentent des millions d’ordinateurs et d’appareils mobiles.
Selon les directives révisées, « après une enquête approfondie sur les microarchitectures et les capacités de microcode pour ces produits, Intel a décidé de ne pas publier les mises à jour de microcode pour ces produits pour une ou plusieurs raisons ».
Intel mentionne trois raisons dans sa documentation :
- Caractéristiques micro-architecturales qui empêchent la mise en œuvre pratique des caractéristiques atténuant Variant 2 (CVE-2017-5715).
- Assistance logicielle limitée pour les systèmes disponibles dans le commerce.
- Selon les clients, la plupart de ces produits sont mis en œuvre sous forme de « systèmes fermés » et, par conséquent, ils sont moins susceptibles d’être exposés à ces vulnérabilités.
La vulnérabilité Variant 2 de Spectre (CVE-2017-5715) affecte les systèmes dans lesquels les microprocesseurs utilisent l’exécution spéculative et la prédiction indirecte de branche, permettant à un programme malveillant de lire des informations sensibles, comme les mots de passe, les clés de cryptage ou d’autres données, y compris celles du noyau.
Cependant, les processeurs peuvent installer des mises à jour du microcode afin d’atténuer les défauts de Variant 1 (Spectre) et Variant 3 (Meltdown).
Un porte-parole a annoncé ceci : « Nous avons maintenant terminé la publication des mises à jour du microcode pour les produits Intel des 9 dernières années et plus qui exigeaient une nouvelle protection. Cependant, comme indiqué dans notre dernier guide de révision du microcode, nous ne fournirons pas de mise à jour pour un certain nombre de plates-formes plus anciennes pour plusieurs raisons dont les commentaires des clients et un support limité. »
Outre Intel, les processeurs AMD Ryzen et EPYC ont également été trouvés vulnérables à 13 vulnérabilités critiques.
AMD a reconnu les vulnérabilités signalées et a promis de déployer des correctifs de firmware pour des millions de dispositifs affectés dans les semaines à venir. Cependant, l’entreprise de sécurité qui a découvert et divulgué les failles, a affirmé qu’AMD pourrait prendre plusieurs mois pour publier des correctifs et que certains d’entre eux ne peuvent pas être corrigés.
Sources ici
