Vulnérabilité de type Meltdown divulguée pour les processeurs AMD Zen+ et Zen 2

Vulnérabilité De Type Meltdown Divulguée Pour Les Processeurs Amd Zen+

En bref : AMD et des chercheurs en sécurité de l’Université technique de Dresde ont révélé une vulnérabilité dans certains processeurs AMD similaire aux vulnérabilités Meltdown et Spectre pour les processeurs Intel qui ont été divulguées pour la première fois il y a trois ans. AMD a déjà décrit plusieurs techniques d’atténuation pour lutter contre ces vulnérabilités.

Les chercheurs de la TU Dresden, Saidgani Musaev et Christof Fetzer, ont informé AMD de l’exploit dans les processeurs Zen + et Zen 2 qu’ils appellent « Exécution transitoire d’accès non canoniques », les comparant directement à Spectre et Meltdown. Le bulletin de sécurité d’AMD fait référence à la vulnérabilité avec le nom CVE-2020-12965.

AMD affirme que le principal risque est que les processeurs puissent divulguer des données qu’ils ne sont pas censés faire. « Lorsqu’ils sont combinés à des séquences logicielles spécifiques, les processeurs AMD peuvent exécuter de manière transitoire des charges non canoniques et stocker en utilisant uniquement les 48 bits d’adresse inférieurs, ce qui peut entraîner une fuite de données », écrit-il.

Musaev et Fetzer ont décrit la vulnérabilité dans un document de recherche. AMD a suivi cela avec sa propre revue qu’il a publiée dans le bulletin. Sur la même page, AMD a également un document décrivant ses techniques d’atténuation. « Il existe une variété de techniques que les logiciels peuvent utiliser pour gérer la spéculation sur les processeurs, chacune avec des propriétés et des compromis différents », écrit AMD.

Vulnerabilite de type Meltdown divulguee pour les processeurs AMD Zen

AMD recommande aux développeurs de revoir leur code exécuté sur les processeurs concernés et d’insérer un LFENCE, ou d’utiliser l’une des solutions décrites dans le document. AMD affirme que ses derniers et futurs processeurs ont plus de fonctionnalités de sécurité pour se défendre contre ces types de vulnérabilités comme SMEP, SMAP et IBC.

Meltdown et Spectre sont des failles matérielles pour les processeurs Intel qui ont été divulguées en 2018 avant d’être corrigées. En cas d’exploitation, Meltdown pourrait exposer une mémoire qui aurait dû être inaccessible, tandis que Spectre pourrait être utilisé pour exécuter du code malveillant. La correction des vulnérabilités a initialement causé des problèmes de performances qui ont finalement été atténués.

En mars de l’année dernière, une autre vulnérabilité dans les processeurs Intel basée sur une faille matérielle a été découverte, appelée Load Value Injection (LVI). Comme Meltdown, il peut être exploité pour divulguer des données qui devraient être protégées.

Crédit image Université technique de Dresde