Chèr(e) abonné(e),
Des nouvelles sous-classes de vulnérabilités liées au canal latéral d'exécution spéculative connues sous les noms de « Speculative Store Bypass (SSB)» et « Rogue System Register Read (RSRE) » ont été découvertes dans les microprocesseurs. L’exploitation de ces failles pourrait permettre à un attaquant distant en incitant sa victime à visiter un site web contenant des codes JavaScript malicieux ou à un utilisateur local malveillant via une analyse de canal latéral de divulguer des informations non autorisées dans la mémoire.
Systèmes affectés : Tous les systèmes avec microprocesseurs utilisant l'exécution spéculative et l'exécution spéculative de lecture de mémoire.
En attendant les patchs correctifs de ces vulnérabilités, nous vous conseillons d’être vigilant et de suivre les mesures préventives suivantes :
Mettre à jour immédiatement votre solution antivirale.
Utiliser un compte utilisateur avec des privilèges limités pour se connecter à Internet.
Mettre à jour vos navigateurs web avec les dernières versions.
Installer les extensions « Web Of Trust (WOT) » « Netcraft » et « adblockplus » dans votre navigateur web pour vous renseigner sur la fiabilité des sites web visités et bloquer les annonces publicitaires douteuses.
Références:
CVE-2018-3639
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3639
CVE-2018-3640
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-3640
ADV180012 | Microsoft Guidance for Speculative Store Bypass
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
Q2 2018 Speculative Execution Side Channel Update
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
AMD Processor Security
https://www.amd.com/en/corporate/security-updates
Google Project Zero
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
Huawei: Security Notice -Statement on the Side-Channel Vulnerability Variants 3a and 4
http://www.huawei.com/en/psirt/security-notices/2018/huawei-sn-20180522-01-cpu-en
Cisco: CPU Side-Channel Information Disclosure Vulnerabilities: May 2018