Deux vulnérabilités nommées Meltdown et Spectre affectent les processeurs Intel depuis 1995.
Ces vulnérabilités peuvent permettre la lecture de données en mémoire et potentiellement voler des informations comme des mots de passe.
Plusieurs applications sont vulnérables dont Windows.

Voici quelques informations autour de ces vulnérabilités Meltdown et Spectre.

Que sont les vulnérabilités Meltdown et Spectre ?

Ce sont des vulnérabilités matérielles importantes sur les processeurs Intel.
Ces bugs de sécurité permettent l’accès à des zones de mémoires utilisées par des applications en cours de fonctionnement. Ainsi un malware pourrait lire des informations stockées par les applications dont des mots de passe.
Mozilla confirme que la vulnérabilité peut-être exploitée par des sites internet en utilisant JavaScript.
Ces vulnérabilités tirent partie de la fonction d’exécution spéculative sur les processeur Intel, de ce fait, il s’agit de de vulnérabilités de canal latéral execution speculative.
Nvidia pense, pour le moment, que leurs processeurs ne sont pas concernés par ces bugs de sécurité.
Certains processeurs AMD peuvent être vulnérables à Spectre.

Meltdown brise l’isolation entre les applications utilisateurs et le système d’exploitation.
Spectre brise l’isolation entre les différentes applications. Un attaquant peut forger un programme qui peut potentiellement lire les données en mémoire des applications en cours de fonctionnement.
Cette dernière vulnérabilité est plus difficile à exploiter mais plus difficile à mitiger.

Ces vulnérabilités Spectre et Meltdown touchent les ordinateurs personnels, mobiles et tout appareil utilisant des processeurs intel.
De ce fait, cette vulnérabilité est importante d’un point de vue sécurité puisqu’elle vise un éventail large de matériel informatique.

Les différents éditeurs se doivent de publier des correctifs concernant ces deux vulnérabilités.

Les numéros des alertes de sécurité : CVE-2017-5753, CVE-2017-5715 (Spectre), et CVE-2017-5754 (Meltdown).
Enfin, un site informatif regroupant toutes les informations a aussi été créé : https://meltdownattack.com/

Les correctifs contre Spectre et Meltdown

Cette vulnérabilité a été trouvée par Google et publiée le 3 Janvier 2018.
Beaucoup d’éditeurs (dont Google) n’ont pas encore publiés de correctifs.

Windows

Microsoft a publié un bulletin de sécurité concernant Windows : KB4073119 et KB4072699 (pour les Windows Serveur).
Les correctifs corrigent le bug Meltdown et une partie des bugs Specture.
Pour ce dernier, une mise à jour CPU-firmware peut-être nécessaire.

Les bulletins de sécurité concernant Windows 10 :

• KB4056892 (OS Build 16299.192)
• KB4056891 (OS Build 15063.850)
• KB4056890 (OS Build 14393.2007)
• KB4056888 (OS Build 10586.1356)
• KB4056893 (OS Build 10240.17738)

Microsoft indique aussi que ces correctifs peuvent être incompatible avec certains antivirus et causer des BSOD.
Ces mises à jour ne seront pas proposées sur les Windows où ces antivirus sont installés.
Un bulletin de compatibilité a été publié par Microsoft, toutefois l’éditeur de l’antivirus peut forcer la mise à jour en créant une clé dans le registre de Windows spécifique.

Android

Un bulletin de sécurité lié aux vulnérabilités Meltdown et Spectre a été publié pour les systèmes Android : https://source.android.com/security/bulletin/2018-01-01

Notez que les smartphone Samsung n’utilisent pas de processeur Intel et ne sont donc pas touchées par ces vulnérabilités.

GNU/Linux

La plupart des distributions Linux sont touchées par ces vulnérabilités.
Suivez les mises à jour habituelles de vos distributions.

Quelques bulletins :

• Redhat – Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 et RHEL
• Suse Enterprise
• Debian
• Ubuntu

Mozilla Firefox

Mozilla indique que la version 57 de Firefox (publié en Novembre) possède des contre-mesures.
On ne sait pas encore quand les correctifs seront disponibles.

Google Chrome

Ces vulnérabilités seront corrigées sur Chrome 64 autour du 23 Janvier.
Il est toutefois possible d’activer des contre-mesure sur Chrome 63.
Pour cela,

• Ouvrez un nouvel onglet dans l’adresse copier/collez : chrome://flags
• Dans la liste cherchez « Strict site isolation » puis cliquez sur Activez.

Vmware

Les produits VMWare ne seraient vulnérables qu’à Spectre : https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html

• ESXi 5.5, 6.0, et 6.5 (il faut installer les patchs sivants : ESXi550-201709101-SG, ESXi600-201711101-SG, ESXi650-201712101-SG; ESXi 5.5)
• Workstation 12.x (mettre à jour vers 12.5.8)
• Fusion 8.x (mettre à jour vers 8.5.9)