Intel a publié des informations sur une nouvelle classe de vulnérabilités dans ses processeurs - MDS (Microarchitectural Data Sampling). Comme les précédentes attaques Spectre, les nouveaux problèmes pourraient entraîner une fuite de données propriétaires du système d'exploitation, des machines virtuelles et des processus étrangers. Il est allégué que les problèmes ont été identifiés pour la première fois par les employés et partenaires d'Intel lors d'un audit interne. En juin et août 2018, des informations sur les problèmes ont également été fournies à Intel par des chercheurs indépendants, après quoi près d'un an de travail conjoint a été mené avec les fabricants et les développeurs de systèmes d'exploitation pour identifier d'éventuels vecteurs d'attaque et fournir des correctifs. Les processeurs AMD et ARM ne sont pas concernés par le problème.
Vulnérabilités identifiées :
CVE-2018-12126 - MSBDS (Microarchitectural Store Buffer Data Sampling), récupération du contenu des tampons de stockage. Utilisé dans l'attaque Fallout. Le degré de danger est déterminé à 6.5 points (CVSS) ;
CVE-2018-12127 - MLPDS (Microarchitectural Load Port Data Sampling), récupération du contenu du port de chargement. Utilisé dans l'attaque RIDL. CVSS6.5 ;
CVE-2018-12130 - MFBDS (Microarchitectural Fill Buffer Data Sampling), récupération du contenu du tampon de remplissage. Utilisé dans les attaques ZombieLoad et RIDL. CVSS6.5 ;
CVE-2019-11091 – MDSUM (Microarchitectural Data Sampling Uncacheable Memory), récupération du contenu de la mémoire non mis en cache. Utilisé dans l'attaque RIDL. CVSS 3.8.
Source: linux.org.ru