Apple communique directement, via une note technique, sur les failles de sécurité affectant « tous les processeurs modernes » et connues sous le nom de Meltdown et Spectre. Celles-ci affectent « tous les Mac et les appareils iOS », reconnait la Pomme mais « il n’existe pas d’exploit connu affectant les clients à ce stade ».

Que sont ces failles ?

Meltdown et Spectre profitent d’une fonctionnalité visant à améliorer les performances des processeurs et nommées « exécution spéculative. Celle-ci améliore la vitesse de fonctionnement en traitant des instructions multiples en une fois, éventuellement dans un ordre différent de celui avec lequel elles sont transmises au processeur. Pour optimiser sa vitesse, le CPU tente de prédire quelle branche de ces chemins sera suivie et va continuer de manière spéculative l’exécution des instructions avant que la branche ne soit totalement traitée. Si la prédiction s’avère erronée, l’exécution spéculative est annulée, d’une manière invisible au logiciel. Meltdown et Spectre utilisent l’exécution spéculative pour accéder à la mémoire protégée – y compris celle du noyau – depuis un espace moins protégé comme l’espace utilisateur  »

Comme exploiter ces failles requiert « l’installation d’une app malveillante sur les Mac ou appareil iOS », Apple recommande de « n’installer que des logiciels de sources sures comme les App Store ».

Meltdown

Meltdown – CVE-2017-5754 alias « rogue data cache load » – est déjà circonscrit sur les systèmes affectés à travers les mises à jour iOS 11.2, macOS 10.13.2, et tvOS 11.2. Les Apple Watch ne sont pas concernées. Ces correctifs, qui sont destinés à s’affiner lors de prochaines mises à jour, n’impliquent pas de « dégradation mesurable des performances sur macOS et iOS sous Geekbench 4 ou sous les principaux benchmarks de navigateur web comme Speedometer, JetStream, et ARES-6 », précise Apple.

La faille a également été circonscrite sous macOS Sierra 10.12.6, OS X El Capitan 10.11.6.

Mettez à jour vos systèmes aussi vite que possible.

Spectre

Spectre regroupe en fait deux exploits CVE-2017-5753 alias « bounds check bypass, » et CVE-2017-5715 alias « branch target injection », qui permettent « l’accès à la mémoire du noyau depuis les processus utilisateur en utilisant le délai requis par le CPU pour vérifier la validité d’un appel mémoire ». Ces failles sont très sérieuses mais également très compliquées à exploiter ; elles peuvent cependant l’être via un code javascript tournant sur le navigateur web. Apple assure qu’elle va sortir « dans les prochains jours » un correctif de sécurité pour Safari macOS et iOS, et ce correctif n’aura qu’un impact limité sur les performances : aucune pénalité mesurée sous Speedometer et ARES-6 et une pénalité de l’ordre de 2,5 % sous JetStream. Apple continue à travailler à des correctifs plus aboutis qui sortiront sur iOS, macOS, tvOS, et watchOS. Visiblement, watchOs est donc concerné par Spectre, et bénéficiera d’un correctif également.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. Apprenez comment les données de vos commentaires sont utilisées.