Onze collega's van de TechPowerUP website met een link naar een publicatie in de Nederlandse pers dat Intel probeerde onderzoekers om te kopen die MDS-kwetsbaarheden ontdekten. Kwetsbaarheden microarchitecturale data sampling (MDS), sampling data uit microarchitectuur, in Intel-processors die de afgelopen acht jaar te koop zijn geweest. De kwetsbaarheden zijn ontdekt door beveiligingsspecialisten van de Vrije Universiteit Amsterdam (Vrije Universiteit Amsterdam, VU Amsterdam). Volgens een publicatie in de Nieuwe Rotterdamsche Courant bood Intel onderzoekers een ‘beloning’ van 8 dollar en nog eens 40 dollar voor het ‘verzachten van de dreiging’ uit het geïdentificeerde ‘gat’. De onderzoekers, vervolgt de bron, weigerden al dit geld.
Eigenlijk heeft Intel niets bijzonders gedaan. Na de ontdekking van de Spectre- en Meltdown-kwetsbaarheden introduceerde het bedrijf een Bug Bounty-geldbeloningsprogramma voor degenen die een gevaarlijke kwetsbaarheid in Intel-platforms ontdekken en dit aan het bedrijf melden. Een aanvullende en verplichte voorwaarde voor het ontvangen van een beloning is dat niemand, behalve speciaal aangewezen mensen van Intel, op de hoogte mag zijn van de kwetsbaarheid. Dit geeft Intel de tijd om de dreiging te beperken door patches te maken en samen te werken met ontwikkelaars van besturingssystemen en fabrikanten van componenten, bijvoorbeeld door code te leveren om moederbord-BIOS te patchen.
In het geval van de ontdekking van de MDS-klasse van kwetsbaarheden had Intel vrijwel geen tijd om de dreiging snel te beperken. Hoewel de pleisters Als reactie op de aankondiging van de ontdekking van nieuwe kwetsbaarheden had Intel geen tijd om de microcode van de processors volledig te updaten, en deze procedures lopen nog steeds. Het is onwaarschijnlijk dat het bedrijf van plan was om te ‘omkopen’ om de door het VU-team ontdekte dreiging voor altijd te verbergen, maar het had zichzelf wel tijd kunnen geven om te manoeuvreren.
Bron: 3dnews.ru