Apple parle des failles Spectre et Meltdown
Apple est actuellement très réactive et a déjà publié une note au sujet des failles Spectre et Meltdown. En voici une traduction:
A propos des vulnérabilités d'exécution spéculatives dans les processeurs Intel et ARM
Les chercheurs en sécurité ont récemment découvert des problèmes de sécurité connus sous deux noms, Meltdown et Spectre. Ces problèmes s'appliquent à tous les processeurs modernes et affectent presque tous les périphériques informatiques et systèmes d'exploitation. Tous les systèmes Mac et les appareils iOS sont concernés, mais aucune attaque connue n'a d'impact sur les clients pour le moment. Dans la mesure où l'exploitation de la plupart de ces problèmes nécessite le chargement d'une application malveillante sur votre Mac ou votre appareil iOS, nous vous recommandons de télécharger le logiciel uniquement à partir de sources fiables telles que l'App Store. Apple a déjà publié des atténuations dans iOS 11.2, macOS 10.13.2 et tvOS 11.2 pour aider à se défendre contre Meltdown. L'Apple Watch n'est pas affectée par Meltdown. Dans les prochains jours, nous prévoyons de publier des mesures d'atténuation dans Safari pour aider à se défendre contre Spectre. Nous continuons à développer et tester d'autres mesures d'atténuation pour ces problèmes et les publierons dans les prochaines mises à jour d'iOS, macOS, tvOS et watchOS.
Contexte
Les failles Meltdown et Spectre tirent parti d'une fonctionnalité de performance du processeur moderne appelée exécution spéculative. L'exécution spéculative améliore la vitesse en fonctionnant sur plusieurs instructions à la fois, éventuellement dans un ordre différent de celui qui est entré dans la CPU. Pour augmenter les performances, l'UC prédit quel chemin d'une branche est le plus susceptible d'être emprunté, et poursuivra l'exécution spéculative sur ce chemin avant même que la branche ne soit terminée. Si la prédiction était fausse, cette exécution spéculative est annulée d'une manière qui est destinée à être invisible pour le logiciel.
Les techniques d'exploitation Meltdown et Spectre abusent de l'exécution spéculative pour accéder à la mémoire privilégiée - y compris celle du noyau - à partir d'un processus utilisateur moins privilégié tel qu'une application malveillante s'exécutant sur un périphérique.
Meltdown
Meltdown est un nom donné à une technique d'exploitation connue sous le nom de CVE-2017-5754 ou "chargement de cache de données frauduleuses". La technique Meltdown peut permettre à un processus utilisateur de lire la mémoire du noyau. Notre analyse suggère qu'elle a le plus de potentiel à exploiter. Apple a publié des atténuations pour Meltdown dans iOS 11.2, macOS 10.13.2 et tvOS 11.2. watchOS n'a pas besoin d'être traité. Nos tests avec des benchmarks publics ont montré que les changements apportés aux mises à jour de décembre 2017 n'ont entraîné aucune réduction mesurable des performances de macOS et iOS telles que mesurées par le benchmark GeekBench 4 ou des benchmarks de navigation Web courants tels que Speedometer, JetStream et ARES- 6.
Spectre
Spectre est un nom couvrant deux techniques d'exploitation différentes connues sous le nom de CVE-2017-5753 ou «bounds check bypass», et CVE-2017-5715 ou «injection de cible de branche». Ces techniques rendent potentiellement les éléments de la mémoire du noyau disponibles pour les processus utilisateur en profitant d'un délai dans le temps que le processeur peut demander pour vérifier la validité d'un appel d'accès à la mémoire.
L'analyse de ces techniques a révélé que, même si elles sont extrêmement difficiles à exploiter, même lorsqu'elles sont exécutées localement sur un appareil Mac ou iOS, elles peuvent être potentiellement exploitées en JavaScript dans un navigateur Web. Apple va publier une mise à jour pour Safari sur macOS et iOS dans les prochains jours pour atténuer ces techniques d'exploitation. Nos tests actuels indiquent que les prochaines mesures d'atténuation de Safari n'auront aucun impact mesurable sur les tests de compteur de vitesse et d'ARES-6 et un impact de moins de 2,5% sur le benchmark JetStream. Nous continuons à développer et à tester d'autres mesures d'atténuation dans le système d'exploitation pour les techniques Spectre, et les publierons dans les prochaines mises à jour d'iOS, macOS, tvOS et watchOS.
Apple a rarement été aussi pédagogue sur des problèmes de sécurité, probablement le début d'une nouvelle manière de communiquer globalement.
Notez que dans le même temps Intel a annoncé le déploiement de patchs qui devraient régler le problème sur 90% de ses processeurs.