De nouvelles vulnérabilités menacent les puces Apple : ce que vous devez savoir
Des universités techniques américaines et allemandes découvrent "SLAP" et "FLOP". Ces deux vulnérabilités menacent toutes les puces Apple à partir du modèle M2 ainsi que certains processeurs A. Apple réagit timidement.
"SLAP" et "FLOP" sont les deux failles de sécurité qui menacent actuellement la sécurité de divers appareils Apple. Cela a été annoncé au début de la semaine. Tous les appareils équipés d'une puce M2 ou plus récente peuvent être potentiellement affectés. Mais les processeurs mobiles A15 et plus récents pourraient également exploiter ces deux vulnérabilités.
Que font exactement "SLAP" et "FLOP"?
"SLAP" signifie "Speculation Attacks via Load Address Prediction" et concerne le "Load Address Predictor" (prédicteur d'adresse de charge).
Ce "Load Address Predictor" est chargé de prédire de quelle adresse mémoire le processeur aura besoin ensuite. La vulnérabilité "SLAP" le pousse à faire de fausses prédictions. Ainsi, un code malveillant introduit via "SLAP" peut accéder à des zones de mémoire où il n'a rien à faire. Ainsi, les attaquants pourraient théoriquement récupérer des données sur vos appareils.
Le "FLOP" signifie "False Load Output Predictions" et concerne le "Load Value Predictor". Celui-ci tente de prédire quelles valeurs reviendront de la mémoire dans laquelle le processeur a stocké des données. Les puces modernes font cela pour que les opérations soient effectuées plus efficacement et plus rapidement. Cependant, si le "FLOP" entre en jeu, il pourrait fournir des valeurs erronées au "Load Value Predictor" et ainsi contourner les mécanismes de sécurité.
Théoriquement, une attaque de bout en bout sur Safari est donc possible. Ou par exemple via le contenu d'e-mails chargés via HTTP depuis des serveurs étrangers.
Si les détails techniques vous intéressent - par exemple, d'où l'accès peut avoir lieu - vous pouvez les trouver dans le rapport des découvreurs ici.
Apple semble détendu
Apple considère les deux failles comme "ne présentant pas de risque immédiat pour les utilisateurs". Bien que l'entreprise ait été alertée des problèmes par l'université de la Ruhr à Bochum et par une université de l'État de Géorgie aux États-Unis en septembre 2024, elle n'a pas encore appliqué de correctif aux failles. Actuellement, celle-ci n'a apparemment pas encore été activement exploitée - mais cela peut théoriquement arriver à tout moment.
Source : Florian Bodoky
En attendant le correctif, vous pouvez par exemple désactiver la fonction JavaScript sous Safari (Safari>Préférences>Sécurité>Décocher Javascript). Cela ne vaut toutefois la peine que pour les utilisateurs expérimentés, car : Cela aide à lutter contre les attaques, mais peut causer des problèmes sur de nombreux sites web. Il vaut donc la peine de vérifier régulièrement si des mises à jour sont disponibles chez Apple.
Cet article plaît à 149 personne(s)
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.