Zoho protégé contre les récentes failles de sécurité Spectre et Meltdown

meltdown-spectre-logosOn a beaucoup entendu parler la semaine passée de vulnérabilités matérielles nommées Spectre et Meltdown, qui ont affecté la plupart des processeurs. Zoho vient de publier une mise à jour rassurante à ce sujet.

De quoi s’agit-il ? Tous les processeurs modernes utilisent la technique “speculative execution” pour accélérer les tâches, les processeurs éxécutant les instructions avant même d’être sûrs qu’elles doivent l’être. L’idée est d’anticiper ce que l’utilisateur pourrait faire et de permettre au processeur de devancer le jeu, pour améliorer les performances. Il est apparu que cela peut permettre à du code malveillant de lire la mémoire système qui peut contenir des informations sensibles. C’est le cœur du problème du Spectre. Le problème de Meltdown est quant à lui principalement lié aux processeurs d’Intel et provient d’une cause différente, mais avec les mêmes effets.

Au 5 janvier, l’équipe américaine Computer Emergency Readiness Team a déclaré que même si les failles «pourraient permettre à un attaquant d’avoir accès à des informations sensibles», rien ne prouve que quelqu’un l’ait fait.

Zoho est conscient de ces vulnérabilités et de leur impact et ses procédures internes ont déjà mis en place certaines sauvegardes. Les systèmes de production de Zoho ne dépendent pas de l’isolation fournie par les processeurs matériels pour la protection des données client et Zoho n’autorise pas le déploiement de code tiers arbitraire dans ses systèmes, ce qui limite potentiellement la portée du problème. Les données clients ne sont donc pas exposées à cette classe de vulnérabilités.

Cela dit, les équipes Zoho travaillent avec leurs fournisseurs pour tester les premiers correctifs logiciels publiés et les déployer dans ses environnements de développement et de production.

2018-01-09T17:02:49+00:008 janvier 2018|Actualités|