Intel ha tentato di attenuare o rinviare la pubblicazione delle vulnerabilità MDS offrendo una 'ricompensa' di 120.000 $

I nostri colleghi del sito TechPowerUP, citando una pubblicazione della stampa olandese segnalano, riferiscono che la società Intel ha tentato di corrompere i ricercatori che hanno scoperto le vulnerabilità MDS. Le vulnerabilità del microarchitectural data sampling (MDS), campionamento di dati dalla microarchitettura, sono state scoperte nei processori Intel in vendita negli ultimi 8 anni. Le vulnerabilità sono state identificate da esperti di sicurezza dell'Università Libera di Amsterdam (Vrije Universiteit Amsterdam, VU Amsterdam). Secondo una pubblicazione del Nieuwe Rotterdamsche Courant, la società Intel ha offerto ai ricercatori un "premio" di $40.000 e ulteriori $80.000 per "mitigare la minaccia" rappresentata dalla "falla" scoperta. I ricercatori, continua la fonte, hanno rifiutato tutti questi soldi.

Intel ha tentato di attenuare o rinviare la pubblicazione delle vulnerabilità MDS offrendo una 'ricompensa' di 120.000 $

Fondamentalmente, Intel non ha fatto nulla di speciale. Dopo aver scoperto le vulnerabilità Spectre e Meltdown, l'azienda ha attivato un programma di ricompensa Bug Bounty per chiunque identifichi una vulnerabilità pericolosa nelle piattaforme Intel e ne informi l'azienda. Una condizione aggiuntiva e obbligatoria per ricevere la ricompensa è che nessuno, tranne le persone appositamente designate da Intel, deve sapere della vulnerabilità. In questo modo, Intel guadagna tempo per mitigare la minaccia: produce patch e collabora con gli sviluppatori di sistemi operativi e i produttori di componenti, ad esempio fornendo codice per le correzioni del BIOS delle schede madri.

Nel caso della scoperta della classe di vulnerabilità MDS, Intel ha praticamente avuto poco tempo per mitigare la minaccia. Anche se le patch erano quasi pronte alla notizia della scoperta di nuove vulnerabilità, Intel non ha potuto completare l'aggiornamento del microcodice dei processori, e queste procedure devono ancora avvenire. È poco probabile che l'azienda intendesse "comprarsi" il silenzio sull'insidia scoperta dal team VU Amsterdam, ma certamente ha potuto acquistare tempo per manovrare.



Fonte: 3dnews.ru
Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster