Kollegamme TechPowerUP-verkkosivustolta linkin julkaisuun Hollannin lehdistössä Intel yritti lahjoa tutkijoita, jotka löysivät MDS-haavoittuvuuksia. Haavoittuvuudet microarchitectural data sampling (MDS), näytteenottotiedot mikroarkkitehtuurista, Intel-prosessoreissa, jotka ovat olleet myynnissä viimeiset 8 vuotta. Haavoittuvuudet löysivät Amsterdamin vapaan yliopiston (Vrije Universiteit Amsterdam, VU Amsterdam) turvallisuusasiantuntijat. Nieuwe Rotterdamsche Courant -lehdessä julkaistun julkaisun mukaan Intel tarjosi tutkijoille 40 000 dollarin "palkkiota" ja 80 000 dollaria lisäksi "uhan lieventämisestä" tunnistetusta "reiästä". Tutkijat, lähde jatkaa, kieltäytyivät kaikesta tästä rahasta.
Periaatteessa Intel ei tehnyt mitään erityistä. Spectre- ja Meltdown-haavoittuvuuksien löytämisen jälkeen yritys otti käyttöön Bug Bounty -rahapalkkioohjelman niille, jotka löytävät Intel-alustoilla vaarallisen haavoittuvuuden ja ilmoittavat siitä yritykselle. Pakollinen lisäehto palkkion saamiselle on, että kukaan muu kuin Intelin erityishenkilöstö ei saa tietää haavoittuvuudesta. Tämä antaa Intelille aikaa lieventää uhkaa luomalla korjaustiedostoja ja työskentelemällä käyttöjärjestelmien kehittäjien ja komponenttien valmistajien kanssa, esimerkiksi tarjoamalla koodia emolevyn BIOS:ien korjaamiseen.
MDS-luokan haavoittuvuuksien löytämisen tapauksessa Intelillä ei ollut käytännössä aikaa vähentää uhkaa nopeasti. Vaikka laastarit Vastauksena ilmoitukseen uusien haavoittuvuuksien löytämisestä Intel ei ehtinyt päivittää prosessorien mikrokoodia kokonaan, ja nämä toimenpiteet ovat edelleen kesken. On epätodennäköistä, että yritys suunnitteli "lahjuksia" piilottaakseen ikuisesti VU Amsterdam -tiimin löytämän uhan, mutta se olisi voinut ostaa itselleen aikaa liikkumiseen.
Lähde: 3dnews.ru