+ Répondre à la discussion Actualité déjà publiée
Page 2 sur 2 PremièrePremière 12
  1. #21
    I.A. en bêta-test Avatar de MikeRowSoft
    Homme Profil pro
    sans profession depuis toujours...
    Inscrit en
    avril 2013
    Messages
    1 544
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : sans profession depuis toujours...

    Informations forums :
    Inscription : avril 2013
    Messages : 1 544
    Points : 428
    Points
    428

    Par défaut

    Peu probable. Comment briller dans le domaine de la sécurité en se comportant comme un irresponsable ?
    Cette phrase me fait penser à : elles ont été trouvées... Mais ont-elles été toutes trouvées ?

  2. #22
    Chroniqueur Actualités
    Avatar de Patrick Ruiz
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    février 2017
    Messages
    475
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : Communication - Médias

    Informations forums :
    Inscription : février 2017
    Messages : 475
    Points : 15 839
    Points
    15 839

    Par défaut AMD promet des correctifs pour les processeurs EPYC et Ryzen

    AMD promet des correctifs pour les processeurs EPYC et Ryzen
    Tout en minimisant l’impact des trouvailles de CTS Labs

    Advanced Micro Devices – AMD – a publié le premier rapport des investigations à propos de la correspondance que la firme de sécurité israélienne CTS Labs lui a adressé le 12 mars. Le fabricant de microprocesseurs confirme les trouvailles et apporte des précisions pour minimiser l’impact des failles dévoilées. Des correctifs sont néanmoins en développement et devraient être disponibles dans les semaines à venir au travers de mises à jour du système d’entrées/sorties de base (BIOS).

    Voilà qui devrait rassurer les possesseurs d’ordinateurs animés par un microprocesseur du fabricant de semi-conducteurs américain. D’après le rapport de CTS Labs paru le 13 mars – la firme de sécurité a été fortement critiquée pour non-respect du délai de 90 jours accordés aux entreprises affectées par des vulnérabilités –, les premiers correctifs ne doivent pas être disponibles avant plusieurs mois. L’entreprise a dressé un tableau à la Meltdown et Spectre avec quatre familles de vulnérabilités pour un total de 13 failles – les variantes de chaque famille étant prises en compte.

    AMD précise que le hardware de ses puces n’est pas concerné par ces vulnérabilités. « Les failles de sécurité identifiées par les chercheurs de la firme indépendante ne sont pas liées à la microarchitecture Zen ou aux exploits publiés par le projet Google Zero le 3 janvier », écrit l’entreprise. AMD limite les brèches au firmware qui pilote l’AMD Secure Processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – et les jeux de puces Promontory utilisés au sein des stations de travail Ryzen et Ryzen Pro.

    Nom : artboard.jpg
Affichages : 1326
Taille : 114,1 Ko

    Sur la piste de Trail of bits

    La seule firme de sécurité qui s’est positionnée jusqu’ici est Trail of bits. Les chercheurs de CTS Labs se sont appuyés sur cette dernière début mars pour évaluer leurs trouvailles avant de contacter AMD. Dan Guido – CEO de CTS Labs – a confirmé les trouvailles de CTS Labs il y a une semaine. Dans une note de clarification parue le 15 mars le chercheur déclare : « il n’existe pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs. Même si l’on publiait tous les détails techniques de ces failles aujourd’hui, leur exploitation nécessiterait des efforts de développement considérables.  »

    Et pour cause, les failles rapportées – Master Key, Ryzenfall, Fallout et Chimera – nécessitent que l’attaquant puisse agir en tant qu’administrateur d’un système. Les utilisateurs qui mettent constamment leurs systèmes d’exploitation à jour contre des failles liées à une escalade des privilèges devraient donc pouvoir dormir sur leurs deux oreilles. Cela permettrait de s’assurer que les barrières de protection intégrées aux différents OS (Windows Credential Guard dans la dernière mouture du système d’exploitation de Microsoft par exemple) jouent effectivement leur rôle.

    AMD a déclaré que les mises à jour n'affecteront pas les performances des puces, un problème qui a miné les correctifs d'Intel pour les failles Spectre et Meltdown.

    Sources

    AMD

    Trail of bits

    Votre opinion

    Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?

    Voir aussi

    AMD PSP : le module cryptographique est affecté par une vulnérabilité, un dépassement de pile qui mène à son contrôle total
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  3. #23
    Expert éminent

    Homme Profil pro
    Développeur Web
    Inscrit en
    septembre 2010
    Messages
    4 619
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : septembre 2010
    Messages : 4 619
    Points : 8 717
    Points
    8 717

    Par défaut

    Cela ressemble donc, comme beaucoup le pressentaient, à un pétard mouillé comme dit ginjfo :

    Citation Envoyé par ginjfo.com
    Lors de la découverte de ce rapport de nombreux doutes ont pesé sur les réelles intentions de CTS Labs. Vous pouvez relire notre dossier à ce sujet.

    Depuis l’attitude de l’entreprise semble confirmer que nous sommes bien en présence d’une sorte de pétard mouillé. Depuis leur publication, la nature « critique » de ces vulnérabilités a largement diminuée. CTS Lab est également à l’origine d’une clarification autour de ses premières allégations.

    Nous apprenons que ce défauts touchent principalement les professionnels. Le niveau de protection actuel dans les domaines du réseau ou du cloud serait déjà suffisant pour se protéger…
    Citation Envoyé par ginjfo.com
    Les problèmes révélés par les CTSLabs sont bien réels mais ils ne sont pas aussi problématiques ou catastrophiques que cela. Bien que CTS Labs aurait demandé à Trail of Bits de revoir ses conclusions, son PDG, Dan Guido, déclare

    « Meltdown et Spectre ont nécessité de nouvelles avancées en matière de recherche. En revanche, les défauts (de CTS Labs) sont bien compris depuis les années 90. Ils ne sont pas nouveaux. Il ne s’agit pas de problèmes fondamentaux et surtout sont bien maitrisés en programmation »

    Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?

    Dan Guido a indiqué précédemment avoir facturé CTS Labs pour le travail d’étude demandé sur les vulnérabilités. L’histoire dira si et quand il est effectivement payé. Mais il ne ménage un client dont la stratégie de communication n’a pas manqué de faire grincer des dents. En fait, il donne même plutôt l’impression de chercher à en prendre ses distances, en relativisant sensiblement la portée de ses trouvailles.
    En toute logique une entreprise à plutôt intérêt à ménager ses clients, ce qui peut expliquer ce petit délai. En même temps la réalité finirait bien par se savoir, et Dan Guido n'avait pas intérêt à trop attendre pour clarifier les choses s'il ne voulait pas perdre sa crédibilité...

Discussions similaires

  1. Réponses: 1
    Dernier message: 17/01/2018, 07h41
  2. Réponses: 10
    Dernier message: 11/01/2018, 02h42
  3. Réponses: 14
    Dernier message: 14/09/2010, 23h04
  4. Des failles critiques en série dans les bibliothèques XML
    Par Katleen Erna dans le forum Actualités
    Réponses: 9
    Dernier message: 07/08/2009, 14h57
  5. Des failles critiques en série dans les bibliothèques XML
    Par Katleen Erna dans le forum XML/XSL et SOAP
    Réponses: 9
    Dernier message: 07/08/2009, 14h57

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo