Spectre et Meltdown continuent à hanter les mémoires de nombreux fournisseurs IT. En effet, Intel a découvert la semaine dernière que les microcodes qu’il a développé pour corriger les deux failles pouvaient provoquer des redémarrages intempestifs des systèmes et appareils équipés de ses dernières puces Kaby Lake, Ivy Bridge, Sandy Bridge et Skylake. Un problème découvert après que des clients se soient plaints de problèmes identiques après l’installation de mises à jour de firmwares dans des machines équipées de processeurs plus anciens comme Broadwell et Haswell.
Parmi les fournisseurs IT affectés par ces patches fautifs figure VMware qui, après avoir constaté que la variante 2 de Spectre affectait vSphere, avait développé une mise à jour intégrant le correctif fautif d’Intel. Le spécialiste de la virtualisation a aussitôt demandé à ses clients à surseoir à l’installation de son correctif jusqu’à ce qu’Intel résolve définitivement le problème. Selon nos confrères de CRN, l’autre variante de Spectre de même que Meltdown ne posent pas de problème en cas d’utilisation de l’hyperviseur.
De son côté, Oracle a été contraint de développer 237 patches pour corriger les deux malwares qui affectent sa panoplie de plateformes logicielles, où l’on retrouve des produits maison comme Oracle Database, mais aussi celles résultant de ces acquisitions comme Java, Agil, Hyperion, JD Edwards ou PeopleSoft.
De son côté, Cisco a découvert avec horreur qu’il devait ajouter 9 produits à la liste déjà longue des systèmes concernés. Y figurent également désormais vBond Orchestrator, vEdge 5000, vEdge Cloud, vManage NMS et vSmart, sans oublier Cisco Application Policy Infrastructure Controller, Virtual Application Policy Controller, ainsi que les routeurs c800 et le serveur C880 M4.
Mais il n’y a pas que Spectre et Meltdown qui mettent en péril la sécurité des systèmes. Lenovo vient ainsi de développer un patch pour corriger une faille qui affecte son système d’exploitation ENOS (Entreprise Networking Operating System). Il s’agit en fait d’un très vieux mécanisme de contournement installé à la demande d’un client OEM en 2004 par la Blade Server Switch Business Unit de Nortel Networks. IBM a fait l’acquisition d’une partie de cette entité en 2010 puis l’a cédée à Lenovo en 2014 dans le cadre de la vente à ce dernier de sa division SystemX. Le fabricant chinois a ainsi hérité du mécanisme à son insu et ne l’a découvert que récemment au cours d’un audit de sécurité. Selon lui, la porte dérobée n’a pas été exploitée et ne peut l’être que dans des conditions exceptionnelles.