ProHoster > Blog > actualités internet > Intel a tenté d'atténuer ou de retarder la publication des vulnérabilités MDS avec une « récompense » de 120 000 $

Intel a tenté d'atténuer ou de retarder la publication des vulnérabilités MDS avec une « récompense » de 120 000 $

Nos confrères du site TechPowerUP avec un lien vers une publication dans la presse néerlandaise rapportqu'Intel a tenté de soudoyer les chercheurs qui ont découvert les vulnérabilités de MDS. Vulnérabilités d'échantillonnage de données microarchitecturales (MDS), échantillonnage de données de microarchitecture, détecté dans les processeurs Intel en vente depuis 8 ans. Les vulnérabilités ont été découvertes par des spécialistes de la sécurité de l'Université libre d'Amsterdam (Vrije Universiteit Amsterdam, VU Amsterdam). Selon une publication du Nieuwe Rotterdamsche Courant, Intel a offert aux chercheurs une « récompense » de 40 000 dollars et 80 000 dollars supplémentaires pour « avoir atténué la menace » provenant du « trou » identifié. Les chercheurs, poursuit la source, ont refusé tout cet argent.

Intel a tenté d'atténuer ou de retarder la publication des vulnérabilités MDS avec une « récompense » de 120 000 $

En gros, Intel n'a rien fait de spécial. Après la découverte des vulnérabilités Spectre et Meltdown, la société a introduit un programme de récompense en espèces Bug Bounty pour ceux qui découvrent une vulnérabilité dangereuse dans les plates-formes Intel et la signalent à la société. Une condition supplémentaire et obligatoire pour recevoir une récompense est que personne, à l'exception des personnes spécialement désignées par Intel, ne soit au courant de la vulnérabilité. Cela donne à Intel le temps d'atténuer la menace en créant des correctifs et en travaillant avec les développeurs de systèmes d'exploitation et les fabricants de composants, par exemple en fournissant du code pour corriger les BIOS des cartes mères.

Dans le cas de la découverte de vulnérabilités de classe MDS, Intel n'a pratiquement pas eu le temps d'atténuer rapidement la menace. Bien que les correctifs j'ai presque réussi En réponse à l'annonce de la découverte de nouvelles vulnérabilités, Intel n'a pas eu le temps de mettre à jour complètement le microcode des processeurs, et ces procédures sont toujours en attente. Il est peu probable que l'entreprise ait prévu de recourir à la « corruption » pour cacher à jamais la menace découverte par l'équipe de VU Amsterdam, mais elle aurait très bien pu gagner du temps pour manœuvrer.



Source: 3dnews.ru

Ajouter un commentaire