Les processeurs Intel frappés avec des vulnérabilités de sécurité LVI, l'atténuation frappe durement les performances.
Une nouvelle classe de vulnérabilités de sécurité affecte les processeurs Intel, ce qui peut leur faire fuir des informations sensibles si elles sont sondées d'une certaine manière, mais ce n'est pas la pire nouvelle pour Intel et ses utilisateurs. L'atténuation au niveau du logiciel ou du micrologiciel de cette vulnérabilité peut entraîner des réductions de performances "allant de 2x à 19x", selon un rapport de The Register.
Une atténuation complète de la nouvelle classe de vulnérabilités Load Value Injection (LVI) oblige Intel à repenser les compilateurs logiciels. La vulnérabilité est décrite dans CVE-2020-0551 et Intel-SA-00334. Il ne s'agit pas d'une menace d'exécution de code à distance, mais il place des machines multi-locataires, telles que des serveurs physiques gérant plusieurs locataires via des serveurs virtuels.
"LVI renverse les attaques d'extraction de données précédentes, comme Meltdown, Foreshadow, ZombieLoad, RIDL et Fallout, et défait toutes les atténuations existantes. Au lieu de divulguer directement les données de la victime à l'attaquant, nous procédons dans la direction opposée : nous passons en contrebande -" injectons "
"Les données de l'attaquant via des tampons de processeur cachés dans un programme de victime et détournent l'exécution transitoire pour acquérir des informations sensibles, telles que les empreintes digitales ou les mots de passe de la victime", écrivent les chercheurs dans le résumé de leur article décrivant la vulnérabilité.
Le fabricant d'antivirus BitDefender a découvert LVI de manière indépendante et a partagé son étude avec Intel. L'entreprise pourrait publier ses conclusions en février. Des détails techniques supplémentaires sont disponibles sur le site Web du groupe ICI.
THEREGISTER