Spectre et Meltdown sont-ils toujours une menace? Les patchs dont vous avez besoin

Publicité

Les révélations de vulnérabilité du processeur Spectre et Meltdown ont été un début choquant pour 2018. Les vulnérabilités affectent presque tous les processeurs, sur pratiquement tous les systèmes d'exploitation et toutes les architectures. Les fabricants de processeurs et les développeurs de systèmes d'exploitation ont rapidement publié des correctifs pour se protéger contre les vulnérabilités.

Mais il y avait aussi de sérieux problèmes de dentition.

Maintenant, plus d'un an après les rapports initiaux, sommes-nous plus près de corriger véritablement les vulnérabilités de Meltdown et Spectre?

Vulnérabilités de spectre et de fusion les plus récentes

Les vulnérabilités Spectre et Meltdown découvertes au début de 2018 continuent d'avoir un impact sur l'informatique. La fusion affecte spécifiquement les microprocesseurs Intel qui remontent à 1995. La longévité de ce problème signifie que la plupart des processeurs Intel du monde sont à risque et même des services comme Microsoft Azure et Amazon Web Services.

Spectre a un effet global similaire. La vulnérabilité Spectre affecte les microprocesseurs d'Intel, ainsi que d'autres grands concepteurs, notamment AMD et ARM. Ainsi, Spectre et Meltdown rendent la plupart des ordinateurs du monde vulnérables, une situation qui remonte à plus de 20 ans.

#Meltdown & #Spectre - Une comparaison côte à côte#la cyber-sécurité#Violation de données#les facteurs humains# CES2018#malware#La technologie

CC: @ ipfconline1@JimMarous@evankirstel@MikeQuindazzi@pierrepinna@ jblefevre60@ reach2ratan@KirkDBorne@Ronald_vanLoonpic.twitter.com/0S79P5jDbV

- Shira Rubinoff (@Shirastweet) 10 janvier 2018

Naturellement, les révélations continuent de consterner les consommateurs et les entreprises. L'inquiétude est multiforme. Intel, AMD et ARM ont tous publié des correctifs pour les vulnérabilités; ces correctifs fonctionneront-ils? Est-il plus simple de remplacer des stocks entiers de microprocesseurs? Quand un processeur entièrement sécurisé arrivera-t-il sur le marché? Et qu'en est-il du coût?

"Nous n'avons jamais vu un bogue aussi vaste comme celui-ci qui affecte littéralement tous les processeurs majeurs", explique David Kennedy, le PDG de TrustedSec, qui effectue des tests de pénétration et des conseils de sécurité pour les sociétés.

«J'ai eu au moins dix appels la semaine dernière avec de grandes entreprises et deux hier pour expliquer ce qui se passait. Ils ne savent pas quoi faire quand il s'agit de patcher. Cela cause vraiment un gâchis. "

Spectre Next Generation

Non, ce n'est pas le crossover James Bond-Star Trek dont vous rêvez. Spectre Next Generation est la deuxième génération de vulnérabilités Spectre. La deuxième génération a été découverte par Project Zero de Google (qui a également révélé la première génération).

Project Zero est le groupe de travail de Google pour trouver et divulguer de manière responsable les vulnérabilités zero-day avant que des individus infâmes ne les découvrent.

Je ne vais pas entrer dans tous les détails ici, mais voici un article expliquant la implications de Spectre Next Generation La vulnérabilité du spectre d'Intel revient comme un fantôme du passéLes révélations de Spectre / Meltdown au début de 2018 ont secoué le monde informatique. Maintenant, les chercheurs en sécurité ont découvert huit nouvelles vulnérabilités de type Spectre affectant les processeurs Intel, ce qui pourrait signifier que votre ordinateur est plus à risque. Lire la suite .

Existe-t-il des correctifs Spectre et Meltdown?

La vaste gamme d'appareils vulnérables pose un autre problème. Chaque type de matériel nécessite une solution individuelle légèrement différente. Le processus de mise à jour depuis janvier 2018 a été tout simplement époustouflant.

Intel s'est empressé de développer et de publier un correctif de sécurité. L'inconvénient était de graves problèmes de performance. Intel a tristement dit: «tout impact sur les performances dépend de la charge de travail et, pour l’utilisateur ne sera pas significatif et sera atténué au fil du temps. " La déclaration était fausse à l'époque et le reste au moment de la l'écriture.

Même les processeurs les plus récents qui viennent juste d'arriver sur le marché ressentent toujours les effets.

En fait, le 22 janvier 2018, Intel a retiré l'un de ses correctifs Spectre car il provoquait un problème de redémarrage aléatoire. Intel a suggéré aux administrateurs réseau de simplement annuler toutes les mises à jour déjà installées, avec le vice-président exécutif d'Intel, Neil Shenoy. disant "Je m'excuse pour toute perturbation que ce changement d'orientation pourrait causer." VMware, Lenovo et Dell ont tous fait des annonces similaires en même temps temps.

Fin janvier, Microsoft a également annoncé que les correctifs Spectre et Meltdown pour Windows 10 compromettaient les performances et provoquaient des erreurs fatales aléatoires, confirmant que leurs correctifs de sécurité étaient petit chariot.

Oh, et Apple a également retiré ses réclamations concernant les protections des machines plus anciennes, libérant une pléthore de correctifs pour High Sierra, Sierra et El Capitan.

Linus et Linux

Linus Torvalds, le créateur et développeur principal du noyau Linux, reste très critique à l'égard de l'ensemble du processus de mise à jour Spectre / Meltdown. (Qu'est-ce qu'un noyau, de toute façon? Qu'est-ce qu'un noyau sous Linux et comment vérifiez-vous votre version?Linux est un système d'exploitation, non? Enfin, pas exactement! C'est en fait un noyau. Mais qu'est-ce que le noyau Linux? Lire la suite ). En fait, Torvalds est allé jusqu'à déclarer les correctifs Intel comme «DÉCHETS COMPLETS ET UTTER».

Vous pouvez lire le reste de sa tirade ici. Cela vaut bien la lecture.

Linus a analysé les patchs. Il a trouvé qu'Intel tentait de rendre les correctifs de sécurité facultatifs, ainsi que basés sur le système d'exploitation afin qu'ils n'aient pas de revoir complètement la conception de leur CPU (qui est la seule option pour une sécurité réelle - je vais vous expliquer pourquoi moment).

Une alternative serait d'émettre deux correctifs où l'un active les correctifs de sécurité et un second qui implémente les correctifs pour le noyau.

Au lieu de cela, Torvalds soutient qu'Intel oblige les deux à masquer les résultats de performance en autorisant un «mode sécurisé en option». où l'utilisateur doit choisir son processeur dans le correctif et faire en sorte que les performances soient prises par les clients, plutôt qu'Intel ne flak. De plus, si et lorsque les utilisateurs démarrent un système d'exploitation plus ancien qui n'a jamais connu le correctif, ils seront instantanément vulnérables.

Le 29 janvier, le noyau Linux 4.15 a été mis à disposition, avec de nouvelles capacités de sécurité étendues dans les processeurs Intel et AMD sur les périphériques Linux. Et même si Linus Torvalds rant était axé sur Linux, il est clair que les correctifs Intel n'étaient à la hauteur d'aucun système d'exploitation.

La Chine connaissait-elle Spectre et Meltdown?

Malgré qu'Intel a esquivé une balle concernant ses rapports de bénéfices (malgré la vulnérabilité critique trouvée dans la plupart des ordinateurs du monde, les bénéfices d'Intel se bien), Intel a pris des tas de critiques pour avoir divulgué Meltdown et Spectre à ses énormes clients chinois, comme Alibaba et Lenovo, avant de le dire aux États-Unis. gouvernement.

Plusieurs grandes agences américaines n'ont été informées de Spectre et Meltdown que lorsque les rapports ont été rendus publics, plutôt que de tout processus de notification préalable à la divulgation. Et bien qu'il n'y ait aucune indication que les informations ont été utilisées de manière inappropriée (par exemple, transmises et utilisées par le gouvernement chinois), cela soulève des préoccupations importantes quant au choix d'Intel de savoir qui informer.

Compte tenu de l'étendue et de l'ampleur de la surveillance Internet chinoise, il semble tout à fait improbable que le gouvernement chinois n'était pas au courant des vulnérabilités devant le gouvernement américain.

Windows 10 Retpoline Specter Fix

La rétpoline est un "Construction logicielle pour empêcher l'injection de branche-cible." En d'autres termes, c'est un patch qui protège contre Spectre en introduisant une branche de prédiction alternative, protégeant le système des spéculations de type Spectre attaques.

En décembre 2018, Microsoft a rendu le correctif retpoline disponible pour son programme Insider. Le programme Insider et les aperçus Insider sont l'endroit où Microsoft teste la prochaine version de Windows 10 avant sa sortie en grand public. La dernière mise à jour, 19H1, contient la mise à jour de la retpoline.

Cependant, en mars 2019, Microsoft a annoncé que le correctif de retpoline était disponible pour tous ceux qui souhaitaient le télécharger. Il y a quelques stipulations:

• Le système doit exécuter la mise à jour Windows 10 octobre 2018.
• Le correctif ne fonctionne que pour les processeurs pré-Intel Skylake et les anciens (le correctif fonctionne également pour les machines AMD, les lecteurs AMD).

Vous ne savez pas quelle version de Windows 10 vous utilisez actuellement? presse Touche Windows + I, puis Système> À propos. Vous pouvez voir votre version actuelle de Windows sous Spécification Windows. S'il indique 1809, vous pouvez installer la mise à jour. Sinon, vous devrez attendre que votre version de Windows se rattrape.

La mise à jour de retpoline, KB4470788, arrivera sur votre système via le processus régulier de Windows Update. Cependant, vous pouvez télécharger la mise à jour KB4470788 via le catalogue Microsoft Update. Téléchargez la version appropriée pour l'architecture de votre système d'exploitation (par exemple, x64 pour 64 bits, x86 pour 32 bits), puis installez.

Est-ce que Spectre et Meltdown seront définitivement réparés?

La première génération de correctifs Spectre et Meltdown était des solutions temporaires. Il ne devrait pas incomber aux consommateurs d'activer les correctifs de blocage des vulnérabilités, et encore moins de décider du compromis entre les problèmes de sécurité au niveau du noyau et les performances des CPU. C'est tout simplement injuste, encore moins totalement contraire à l'éthique.

Le déploiement lent des correctifs de retpoline est meilleur pour les consommateurs, corrigeant les vulnérabilités du système et ramenant la vitesse du système aux niveaux précédents. Pourtant, certains utilisateurs ne bénéficient pas d'un correctif de retpoline, ce n'est donc pas un pansement magique.

Au début de 2018, le rapport financier d'Intel contenait des informations du PDG Brian Krzanich, qui avait promis que les puces avec de véritables correctifs matériels commenceraient à être expédiées cette année. Malheureusement, Krzanich n'a pas précisé la signification de cette déclaration audacieuse.

Cependant, parce que Krzanich a confirmé les plans d'Intel de poursuivre le développement de ses produits 14 nm (processeurs Intel à partir de 2014 - Kaby Lake, Coffee Lake, Skylake, etc.) tout au long de 2018. Cela crée des possibilités: correctifs «dans le silicium» pour la génération actuelle de CPU et correctifs pour les prochains processeurs de Cannon Lake, ou l'un ou l'autre.

Plus tard en 2018, Intel a annoncé que des correctifs matériels, c'est-à-dire un correctif basé sur un processeur en silicium, arriveront avec la prochaine génération de processeurs Intel. Certains correctifs seront déployés avec la série de processeurs basse consommation, Whiskey Lake, tandis que d'autres devraient arriver avec les processeurs de facto de 10e génération, Ice Lake. La nouvelle génération de processeurs Intel devrait protège également contre la vulnérabilité Foreshadow, aussi.

Vous pensez que Spectre et Meltdown ne vous affectent pas? Vérifiez liste du matériel informatique non affecté par les vulnérabilités Des ordinateurs ne sont-ils pas affectés par les bugs de fusion et de spectre?Les vulnérabilités Meltdown et Spectre ont affecté le matériel dans le monde entier. Il semble que tout ne soit pas sûr. Mais ce n'est pas le cas. Consultez cette liste de matériel sécurisé et nos conseils pour l'avenir. Lire la suite , et détrompez-vous.