Vulnerabilities Meltdown et Spectre

Début janvier 2018, des détails sur les vulnérabilités non divulguées abusant des processeurs CPU ont été publiés, appelés les vulnérabilités Meltdown et Spectre.

Vulnérabilités Meltdown et Spectre et plan d'atténuation




1 - Aperçu du risque



  • Meltdown (CVE-2017-5754) brise le mécanisme qui empêche les applications d'accéder arbitrairement à la mémoire système. Par conséquent, les applications peuvent accéder à la mémoire système.

  • Spectre (CVE-2017-5753 et CVE-2017-5715) pousse des applications à accéder à des emplacements arbitraires dans leur mémoire.

  • Les ordinateurs de bureau, ordinateurs portables et Cloud peuvent être affectés par Meltdown, mais presque tous les systèmes sont affectés par Spectre, y compris les smartphones.

  • Actuellement, la gravité est globalement définie comme "Importante" car il n'y a pas encore d'attaques connues qui pourraient exploiter de telles vulnérabilités.



2 - Plan d’atténuation



  • Bien que tous les éditeurs de logiciels publieront des correctifs et des avis, un plan d'action doit être établi pour implémenter ces correctifs dans votre environnement en tenant compte des impacts potentiels sur les performances des systèmes.

  • POST suit activement toutes les nouvelles vulnérabilités et les risques liés à la cybersécurité. POST s'engage à atténuer les risques impactant potentiellement ses produits et services et tiendra ses clients informés individuellement des actions de correction qui doivent être effectuées dans les jours et semaines à venir.