L'équipe de Project Zero de Google a découvert l'anomalie critique du processeur l'an de
chinatopwin
chinatopwin
2018-01-04 09:18:14
Dans un article de blog publié il y a quelques minutes, l'équipe de sécurité de Google a annoncé ce qu'elle avait fait pour protéger les clients de Google Cloud contre la vulnérabilité de la puce annoncée plus tôt aujourd'hui. Ils ont également indiqué que l'équipe de Project Zero avait découvert cette vulnérabilité l'année dernière (bien qu'ils ne soient pas spécifiques quant au timing).
La société a déclaré avoir informé les fabricants de puces du problème causé par un processus connu sous le nom d '«exécution spéculative». Il s'agit d'une technique avancée qui permet à la puce de deviner les instructions logiquement nécessaires pour accélérer l'exécution. Malheureusement, cette capacité est vulnérable aux acteurs malveillants qui pourraient accéder aux informations critiques stockées en mémoire, y compris les clés de cryptage et les mots de passe.
Selon Google, cela affecte tous les fabricants de puces, y compris ceux d'AMD, d'ARM et d'Intel (même si AMD a nié leur vulnérabilité). Dans un billet de blog, Intel a nié que la vulnérabilité se limitait à leurs puces, comme cela avait été rapporté par certains points de vente.
L'équipe de sécurité de Google a écrit qu'elle avait commencé à prendre des mesures pour protéger les services Google de la faille dès qu'ils en avaient connaissance. Si vous vous demandez pourquoi ils n'en ont pas parlé au public dès qu'ils en ont eu connaissance, c'est parce qu'il était prévu qu'il y aura une sortie coordonnée la semaine prochaine (le 9 janvier). Lorsque les nouvelles ont fui, Google, Intel et d'autres parties intéressées ont décidé de divulguer les informations pour mettre fin à la spéculation.
La bonne nouvelle est que si vous utilisez Google Apps / G Suite, vous n'avez aucune action à effectuer. Les autres utilisateurs de Google Cloud devront prendre des mesures pour atténuer leurs risques. Vous devriez lire cet article pour plus de détails sur les produits et services nécessitant une intervention de l'utilisateur.
La société a déclaré avoir informé les fabricants de puces du problème causé par un processus connu sous le nom d '«exécution spéculative». Il s'agit d'une technique avancée qui permet à la puce de deviner les instructions logiquement nécessaires pour accélérer l'exécution. Malheureusement, cette capacité est vulnérable aux acteurs malveillants qui pourraient accéder aux informations critiques stockées en mémoire, y compris les clés de cryptage et les mots de passe.
Selon Google, cela affecte tous les fabricants de puces, y compris ceux d'AMD, d'ARM et d'Intel (même si AMD a nié leur vulnérabilité). Dans un billet de blog, Intel a nié que la vulnérabilité se limitait à leurs puces, comme cela avait été rapporté par certains points de vente.
L'équipe de sécurité de Google a écrit qu'elle avait commencé à prendre des mesures pour protéger les services Google de la faille dès qu'ils en avaient connaissance. Si vous vous demandez pourquoi ils n'en ont pas parlé au public dès qu'ils en ont eu connaissance, c'est parce qu'il était prévu qu'il y aura une sortie coordonnée la semaine prochaine (le 9 janvier). Lorsque les nouvelles ont fui, Google, Intel et d'autres parties intéressées ont décidé de divulguer les informations pour mettre fin à la spéculation.
La bonne nouvelle est que si vous utilisez Google Apps / G Suite, vous n'avez aucune action à effectuer. Les autres utilisateurs de Google Cloud devront prendre des mesures pour atténuer leurs risques. Vous devriez lire cet article pour plus de détails sur les produits et services nécessitant une intervention de l'utilisateur.