Le Macintosh est une plateforme qui apparaît plus sécurisée. Ce qui est à la fois vrai et faux. Les vulnérabilités dans les processeurs Apple Silicon ne sont pas nouvelles. Déjà en 2024, au moins une avait été dévoilée.
Cette fois-ci, des étudiants de l’Institut de technologie de Géorgie ont baptisé deux failles “SLAP” et “FLOP”. Fondamentalement, elles permettent d’exécuter des attaques via un navigateur en exploitant un accès distant. SLAP signifie “Data Speculation Attacks via Load Address Prediction on Apple Silicon” et FLOP, “False Load Output Predictions”.
Ces failles se situent dans les mécanismes d’exécution spéculative, qui anticipent l’exécution des instructions pour optimiser les performances. Les étudiants, en saturant les flux de données, ont réussi à récupérer des informations. Pour ce faire, ils ont utilisé des onglets d’un navigateur avec du code JavaScript ou WebAssembly.
Tous les modèles Mx depuis 2022/2023 sont concernés. Dans la pratique, l’exploitation de ces failles est incertaine.
Publication de ces failles : https://predictors.fail/
