Oracle publie des mises à jour pour se prémunir des variantes 3a et 4 de Spectre et Meltdown

Oracle a publié des mises à jour logicielles et de microcodes pour se prémunir des variantes 3a (Rogue System Register Read – CVE-2018-364) et 4 (Speculative Store Bypass – CVE-2018-3639) des vulnérabilités Spectre et Meltdown dans ses produits Oracle Linux Distribution et Oracle VM virtualisation. 

Pour rappel, l'exploitation de la variante 3a pourrait permettre à un attaquant d'accéder en lecture à des paramètres systèmes en utilisant une attaque par canal auxiliaire.
L'exploitation de la variante 4 pourrait permettre à un attaquant de lire d'anciennes valeurs stockées en mémoire dans la pile d'exécution du processeur ou dans d’autres zones mémoires en utilisant une attaque par canal auxiliaire.

Les deux variantes sont uniquement exploitables si un attaquant dispose d'un accès local. Leur criticité est modéré.

La variante 4 impacte les systèmes Oracle Linux versions 6 et 7 et Oracle VM 3.4.