Meltdown et Spectre exploitent des vulnérabilités critiques dans les processeurs modernes. Ces bugs matériels permettent à certains logiciels de voler les données procédés sur l'ordinateur. Bien que les logiciels ne soient normalement pas autorisés à lire les données d'autres programmes, un logiciel malicieux peut exploiter Meltdown et Spectre pour récupérer les informations stockés dans la mémoire d'autres logiciels en cours d'utilisation. Cela peut inclure les mots de passes stockés dans les logiciels de gestion de mots de passe ou dans les navigateurs internet, vos photos personnelles, courriels, messagers instantanés et même les documents sensibles de votre entreprise.
Meltdown et Spectre affecte les ordinateurs personnels, les appareils mobiles, et aussi le cloud. En fonction de l'infrastructure de votre fournisseur de cloud, il est même possible de voler des donnés d'autres clients.
Meltdown et Spectre sont des vulnérabilités au niveau matériel. De ce fait, tous les systèmes d'exploitation sont affectés. Les produits KACE - Systems Management Appliance (SMA) et Systems Deployment Appliance (SDA) - sont basés sur FreeBSD sur du matériel Dell. FreeBSD n'a pas encore de patch disponible ni de date fixée pour un correctif cependant puisque SMA et SDA sont des des appliances a code fermés, il n'y a à l'heure actuel pas de risque. Les patches tierces seront ajoutés au catalogue des patches dès qu'ils auront été testés et approuvés. Ce processus prend généralement 1 à 2 jours, mais peut varier en fonction du tierce. Les informations spécifiques et les ressources concernant ces tierces sont disponibles ci-dessous :
Information officielle : https://meltdownattack.com/
Réponse officielle de Dell : http://www.dell.com/support/article/us/en/04/sln308588
Google : https://security.googleblog.com/2018/01/more-details-about-mitigations-for-cpu_4.html
----------
FreeBSD : https://www.freebsd.org/news/newsflash.html#event20180104:01
Microsoft : https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV180002
* NOTE : Les patches Microsoft Windows ont été ajoutés au catalogue le 05/01/18. Une liste des patches disponibles 'out-of-band' pour Janvier 2018 est attaché à cet article (Microsoft_OOB_Jan2018.txt).
* NOTE : Les patches Microsoft Windows seront détectés comme manquants uniquement sur les machines disposant d'une clé de registre crée par des logiciels anti-virus afin d'éviter les soucis de BSOD ou pire. Des informations additionnelles à ce sujet sont disponibles ici.
* Blog IT Ninja : Spectre & Meltdown Analysis using KScripting with TextReturn
Apple : https://support.apple.com/en-us/HT208331
RedHat : https://access.redhat.com/security/vulnerabilities/speculativeexecution
Ubuntu : https://insights.ubuntu.com/2018/01/04/ubuntu-updates-for-the-meltdown-spectre-vulnerabilities
SuSE : https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
----------
VMware : https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html
© 2024 Quest Software Inc. ALL RIGHTS RESERVED. Conditions d’utilisation Confidentialité Cookie Preference Center