Deux autres faiblesses de sécurité associées à la vulnérabilité Spectre Variant 2 ont été découvertes dans les anciennes puces de traitement AMD et Intel. On ne sait pas encore si ces faiblesses seront exploitées par des attaquants.
Les puces de traitement plus anciennes sont une cible potentielle
Les deux vulnérabilités, nommées CVE-2022-29900 (pour les puces AMD) et CVE-2022-29901 (pour les puces Intel), sont une préoccupation pour les processeurs Intel Core génération 6 à 8 et AMD Zen 1, Zen 1+ et Zen 2 processeurs.
Ces modèles sont vulnérables aux attaques d'exécution spéculative, qui peuvent amener un processeur donné à exécuter une instruction défectueuse qui accède à des données privées dans la mémoire du noyau de la puce.
Cela peut également être appelé une attaque par canal latéral, car elle utilise un canal latéral pour transférer des informations.
Comme écrit sur le Site Web COMSEC, Ces deux nouvelles vulnérabilités ont été nommées RetBleed par les chercheurs de l'ETH Zurich Kaveh Razavi et Johannes Wikner. RetBleed est chargé d'extraire les données volées après qu'une vulnérabilité donnée a été exploitée afin que les attaquants puissent l'utiliser à leur avantage.
Dans Épisode 21 de la série de vidéos Chips & Salsa d'Intel, la société a déclaré que les appareils Windows, Linux et macOS sont vulnérables à ces deux faiblesses.
On ne sait pas encore si ces vulnérabilités seront exploitées
Bien qu'il soit possible que les vulnérabilités CVE-2022-29900 et CVE-2022-29901 soient exploitées, aucune instance de ce phénomène n'a encore été annoncée. Au moment d'écrire ces lignes, aucun exploit dans la nature n'a été découvert par Intel ou AMD, mais cela ne signifie pas nécessairement que de futures attaques sont hors de question.
Bien que des correctifs soient testés pour atténuer ces deux nouvelles vulnérabilités, les ressources requises pour l'exploit sont susceptibles d'entraîner une surcharge importante, ce qui préoccupe à la fois AMD et Intel.
Attendez-vous à de nouveaux correctifs pour ces vulnérabilités
Spectre a été annoncé pour la première fois en 2018 et chaque nouvelle itération de la vulnérabilité a été surmontée avec succès. Un système de défense spécifique appelé Reptoline a été déployé en 2018 pour atténuer les attaques Spectre, mais les nouvelles vulnérabilités ont pu contourner cette mesure de protection. Une augmentation des mesures de sécurité sur ces puces AMD et Intel peut également entraîner une baisse de la qualité des performances.
Cependant, ces correctifs sont probablement nécessaires pour empêcher l'exploitation de ces vulnérabilités Spectre dans la nature. Des mesures d'atténuation sont actuellement en cours pour résoudre ce problème.
Le spectre est une préoccupation constante
On ne sait pas encore si de nouvelles variantes de Spectre apparaîtront à l'avenir. De multiples itérations sont apparues dans le passé, ces deux nouvelles vulnérabilités suggérant qu'il pourrait y en avoir d'autres à venir.
Bien que les nouveaux correctifs entraîneront probablement des frais généraux importants, ils empêcheront les utilisateurs d'être victimes d'éventuels futurs exploits via les vulnérabilités CVE-2022-29900 et CVE-2022-29901.