Intel a mis à disposition lundi des microcodes pour contrer une vulnérabilité de sécurité, de référence CVE-2023-23583, qui affecte presque tous ses processeurs modernes, pour serveurs, ordinateurs de bureau et appareils portables.
Le CERT-FR ne semble pas avoir encore répertorié cette vulnérabilité.
Elle consiste en une séquence d’instructions, qui peut mener à un comportement inattendu du processeur, à l’élévation de privilège d’un utilisateur authentifié, voire de divulgation de données et de déni de service.
La vulnérabilité a été découverte en interne. Elle aurait été indépendamment trouvée par des tiers, dont une équipe de Google, qui l’a baptisée Reptar.
Techniquement, dans certaines conditions, l’exécution d’une instruction avec un préfixe redondant REX conduit à des plantages, voire les comportements mentionnés plus haut.
Le fondeur n’anticipe pas la possibilité qu’une telle occurrence arrive par hasard. Elle ne pourrait se produire que dans du code malveillant.
Le nouveau microcode a déjà été intégré aux processeurs Intel Core de 12e et 13e générations, et des Xeon Scalable de 4e génération.
Pour les processeurs plus anciens, Intel Core de 10e et 11e générations, Xeon Scalable de 3e génération et Xeon D, les utilisateurs sont invités à installer les mises à jour fournies par les fabricants de leurs systèmes. La liste complète des modèles de processeurs affectés est consultable en ligne.
Le correctif n’aurait aucun impact sur les performances du processeur.