Intel n’en a pas fini avec les failles liées à la technique d’exécution spéculative de ses processeurs, cette dernière pouvant dès lors être exploitée pour récupérer des données sensibles, comme les mots de passe, contenues dans la mémoire. Après Spectre et Meltdown en janvier 2018, puis PortSmash en novembre, des experts de l’Institut polytechnique de Worcester, aux Etats-Unis, et de l’Université de Lübeck, en Allemagne ont publié début mars un rapport sur une vulnérabilité de même type baptisée cette fois Spoiler. Intel aurait été averti de sa présence à la fin de l’année dernière, mais en l’absence d'intervention de sa part, l’existence de la faille vient d’être rendue publique.
Selon les experts, la vulnérabilité concerne toutes les puces sorties après la 1ère génération d’Intel Core, quel que soit l’OS utilisé (environnements sandbox inclus). Elle pourrait être exploitée à l’aide une séquence JavaScript malveillante hébergée dans un onglet de navigateur web ou à travers un malware pour extraire des informations sensibles. Selon les experts à l’origine du rapport, l’exploitation de Spoiler ne nécessiterait qu’un jeu réduit d’instructions. Cette nouvelle faille serait indépendante des variantes de la vulnérabilité Spectre, ce qui signifie que les solutions de réduction des risques trouvées pour ces dernières ne pourront pas être utilisées pour la contrer. Spoiler pourrait faciliter les attaques de type Rowhammer qui ciblent la DRAM.
Commentaire