Microsoft et Google ont annoncé conjointement l’existence d’une nouvelle vulnérabilité de sécurité dénommée Speculative Store Bypass (variante 4) affectant les CPU. La revue informatique allemande C't et Intel ont également confirmé cette nouvelle variante de la vulnérabilité Meltdown/Spectre révélée fin 2017 à la grande stupéfaction des experts en sécurité.

« Comme les autres variantes GPZ, la variante 4 utilise l'exécution spéculative, une caractéristique commune à la plupart des architectures processeurs modernes, pour potentiellement exposer certains types de données en empruntant un canal latéral. Dans le cas qui nous intéresse, les chercheurs ont mis en évidence la présence de la variante 4 dans un environnement runtime basé sur le langage », a expliqué Leslie Culbertson, vice-président exécutif et directeur général Assurance et la Sécurité des produits chez Intel Corporation. Celle-ci a ajouté que « même s’il n’y a pas encore de preuve d’exploitation réussie en cours, l'utilisation la plus commune des runtimes, comme JavaScript, se situe dans les navigateurs web ». Une vidéo mise en ligne par Red Hat offre un aperçu de son fonctionnement.

Choisir entre optimiser la performance ou la sécurité

Heureusement, « depuis le mois de janvier, les principaux éditeurs de navigateurs ont déployé des mesures d'atténuation pour la variante 1 dans leurs runtimes gérés. Ces mesures d'atténuation rendent l’exploitation des canaux secondaires d’un navigateur Web beaucoup plus difficile. Ces mesures sont également valables pour la variante 4 et peuvent être mises en œuvre dès maintenant par les utilisateurs ». Leslie Culbertson précise aussi que « pour être sûrs d’offrir une option d'atténuation complète et pour éviter que la méthode ne soit détournée, nous et nos partenaires de l'industrie proposons une solution d’atténuation supplémentaire pour la variante 4, associant du microcode et des mises à jour logicielles ».

Toujours selon Leslie Culbertson, Intel a « déjà livré la mise à jour du microcode pour la variante 4 en bêta aux fabricants de systèmes OEM et aux éditeurs de logiciels système ». Cette mise à jour et les mises à jour logicielles « devraient apparaître dans le BIOS de production au cours des semaines à venir ». L’atténuation sera désactivée par défaut, laissant aux clients le choix de l'activer ou non. « Nous pensons que la plupart des partenaires de l'industrie du logiciel préfèreront également la désactivation par défaut ». Les utilisateurs finaux auront le choix entre optimiser la performance ou optimiser la sécurité. Selon Intel, « quand la solution d’atténuation est activée, l’impact sur les performances est d'environ 2 à 8 % ».

D'autres mesures d'atténuation à venir

Microsoft affirme avoir « découvert la variante en novembre 2017 et que ses partenaires ont été informés dans le cadre de l'initiative Coordinated Vulnerability Disclosure (CVD) ». « Nous continuons à travailler avec les fabricants de puces concernés et nous avons déjà publié des mesures de défense avancées pour remédier aux vulnérabilités d'exécution spéculatives pouvant affecter nos produits et services », a déclaré un porte-parole de Microsoft à The Verge. « Rien ne permet de dire que cette classe de vulnérabilité a affecté Windows ou notre infrastructure de services cloud. Néanmoins, nous fournirons d'autres mesures d'atténuation à nos clients dès qu’elles seront disponibles. Notre politique courante pour les problèmes à faible risque est de fournir des mesures correctives au rythme de notre calendrier de mises à jour Tuesday Update ». Selon certaines informations, Intel aurait entrepris de modifier le design de ses processeurs pour les protéger contre les attaques comme Spectre, Meltdown et la variante 4. D'autres détails concernant ces protections matérielles devraient être dévoilés plus tard cette année.