Titre Image

Bulletin technique sur la vulnérabilité à la fusion et au spectre

La semaine dernière, des reportages ont annoncé une faille de sécurité d'une fonctionnalité du processeur appelée exécution spéculative qui affectait la majorité des processeurs de l'industrie informatique. Deux menaces d'attaque potentielles appelées Meltdown et Spectre qui exploitent la faille de sécurité suscitent des inquiétudes. Quelques clients Flash se sont renseignés sur nos produits à propos de cette histoire.

Flash Technology l'ingénierie a analysé nos produits et a déterminé que deux produits, le FTM 190 et le Vanguard SC 370 sont concernés. Ces deux contrôleurs utilisent le SOC AM3352 de TI. Le cœur du processeur est un ARM Cortex A8 qui présente une exécution spéculative mais n'est vulnérable qu'à Spectre, pas à Meltdown (Seul l'ARM Cortex A75 est affecté par Meltdown).

Pour la plupart, tous les processeurs sont vulnérables à Spectre et il est plus difficile à corriger. Un élément clé de cette attaque, cependant, est que pour tout abus avec Spectre, l'utilisateur malveillant doit avoir un processus en cours d'exécution sur notre CPU. Cela n'est pas possible sans avoir d'abord obtenu un accès Ethernet à notre système, en téléchargeant un fichier et en l'exécutant. Si ce type d'accès se produit, à ce stade, tout type d'attaque est possible. Une couche de protection supplémentaire réside dans le fait que nos produits ne fonctionnent qu'à partir de réseaux privés fermés, de sorte qu'une intrusion réseau supplémentaire serait nécessaire pour attaquer les interfaces SNMP ou Web.

Pour atténuer les risques, Flash Technology appliquera tous les correctifs fournis par notre fournisseur de puces (via la distribution TI Arago Linux) lorsqu'ils seront disponibles. Au moment d'écrire ces lignes, aucun correctif ou calendrier n'a encore été annoncé par TI. Lorsque le noyau Linux est corrigé, Flash Technology prendra l'étape de sécurité supplémentaire de mise à jour de tout autre composant open source vers la dernière version.

Si vous voulez, vous pouvez indiquez-nous si vous avez d'autres questions ou préoccupations.