
Google a collaboré avec les acteurs du projet concerné pour publier un correctif. Les utilisateurs et administrateurs sont vivement encouragés à : - Vérifier s’ils utilisent une version affectée du logiciel ou de la bibliothèque. - Appliquer immédiatement les mises à jour ou correctifs fournis. - Surveiller les systèmes pour détecter toute activité suspecte. Cet avertissement souligne l’importance de la collaboration entre les chercheurs en sécurité et les macteurs de projets open source. Google Security Research joue un rôle clé dans l’identification et la correction des vulnérabilités avant qu’elles ne soient exploitées à grande échelle. Pour plus de détails techniques, les utilisateurs peuvent consulter le document officiel sur GitHub : GHSA-4xq7-4mgh-gp6w. A l'image de ce qui se passe sur le programme bounty, les failles ont été rapportées le 25 septembre 2024, et n'ont été dévoilées qu'hier, laissant le temps à AMD et aux acteurs de réagir, AMD a ensuite fourni un correctif sous embargo à ses clients le 17 décembre 2024. Pour coordonner nos efforts avec AMD, nous avons fait une exception ponctuelle à notre politique standard de divulgation des vulnérabilités et avons retardé la divulgation publique jusqu'à aujourd'hui, le 3 février 2025. " Cette divulgation conjointe intervient 46 jours après qu'AMD a partagé le correctif avec ses clients et 131 jours après le rapport initial de Google. En raison de la chaîne d'approvisionnement, de la séquence et de la coordination approfondies requises pour résoudre ce problème, nous ne partagerons pas tous les détails pour le moment afin de donner aux utilisateurs le temps de rétablir la confiance dans leurs charges de travail informatiques confidentielles. Nous partagerons des détails et des outils supplémentaires le 5 mars 2025. " Merci rim-k06 pour l'information.
Source: https://www.logic-sunrise.com/forums/to ... 1-a-zen-4/