Un rapporto da Il New York Times afferma che Intel ha ripetutamente chiesto a un gruppo di ricercatori olandesi di rimanere in silenzio sulle vulnerabilità nei suoi chip, nonostante ripetute istanze di patch Intel che non hanno risolto il problema nella sua interezza.
La vulnerabilità si basa essenzialmente sul fatto che i chip Intel spesso svolgono determinate funzioni in previsione delle esigenze di elaborazione per accelerare le prestazioni. Tuttavia, se tali funzioni vengono interrotte, i dati creati rimangono nel sistema per un breve periodo, mentre questi dati vengono elaborati o archiviati sono vulnerabili all'estrazione da parte di hacker.
I ricercatori della Vrije Universiteit Amsterdam hanno scoperto e segnalato vulnerabilità nei processori Intel nel settembre 2018. Secondo il rapporto, una patch Intel rilasciata per risolvere il problema a maggio non ha risolto completamente il problema. Pertanto, martedì 12 novembre 2019 è stata rilasciata una seconda patch, che apparentemente avrebbe dovuto risolvere tutti i problemi. Almeno, secondo i ricercatori. Il rapporto osserva:
Sarebbero passati altri sei mesi prima che una seconda patch, divulgata pubblicamente dalla società martedì, lo facesse correggere tutte le vulnerabilità indicate da Intel sono state risolte a maggio, hanno affermato i ricercatori in un recente colloquio.
Il messaggio pubblico di Intel era "tutto è sistemato", ha detto Cristiano Giuffrida, professore di informatica alla Vrije Universiteit Amsterdam e uno dei ricercatori che hanno segnalato il vulnerabilità. "E sapevamo che non era accurato."
L'inesattezza a cui si presume si riferisca Giuffrida, è il fatto che la patch fornita martedì non corregge un altro difetto di cui si dice abbiano parlato a Intel a maggio:
Ora i ricercatori olandesi affermano che Intel sta facendo di nuovo la stessa cosa. Hanno detto che la nuova patch rilasciata martedì non risolve ancora un altro difetto fornito a Intel a maggio.
Intel ha riconosciuto che la patch di maggio non ha risolto tutto ciò che i ricercatori hanno inviato, né la correzione di martedì. Ma "riducono notevolmente" il rischio di attacchi, ha affermato Leigh Rosenwald, portavoce dell'azienda.
Il rapporto rileva le pratiche standard del settore che circondano questo genere di cose, in base alle quali le società di sicurezza che scoprono vulnerabilità e segnalarli spesso accettano di non pubblicare i loro risultati fino a quando un'azienda non può rilasciare una patch per risolvere il problema problema. Questo è il motivo per cui non si sente parlare della maggior parte delle vulnerabilità di sicurezza fino a quando non vengono risolte. I ricercatori olandesi affermano di essere rimasti in silenzio per otto mesi dopo il rapporto iniziale a Intel. Quando Intel ha rilasciato una correzione a maggio, si sono resi conto che la patch non includeva tutti gli exploit di cui avevano parlato a Intel e gli è stato chiesto di rimanere in silenzio per altri sei mesi. A quanto pare è stato anche chiesto loro di modificare un documento che avevano programmato di presentare a una conferenza sulla sicurezza.
Il rapporto afferma che dopo il rilascio di martedì, al gruppo è stato nuovamente chiesto di rimanere in silenzio, tuttavia, hanno rifiutato, da cui questa storia:
"Pensiamo che sia ora di dire semplicemente al mondo che anche adesso Intel non ha risolto il problema", ha detto Herbert Bos, collega di Giuffrida e Razavi alla Vrije Universiteit Amsterdam
Il rapporto prosegue suggerendo che Intel potrebbe aver trascurato alcuni degli exploit "proof-of-concept" forniti dal gruppo e che in in tal modo non è riuscito a scoprire alcuna vulnerabilità aggiuntiva, motivo per cui Intel non è stata in grado di correggere tutte le vulnerabilità in una volta:
"Ci sono ancora tonnellate di vulnerabilità rimaste, ne siamo sicuri", ha detto Bos. "E non intendono fare un'adeguata ingegneria della sicurezza finché la loro reputazione non è in gioco... "Molti degli attacchi persi erano poche righe di codice diverse dagli altri. A volte una sola riga di codice ", ha detto Giuffrida. "L'implicazione di questo è ovviamente preoccupante. Significa che finché non forniremo loro tutte le possibili variazioni del problema, non risolveranno effettivamente il problema ".
Una portavoce di Intel ha affermato che la società ha "notevolmente ridotto" il rischio di attacco. Ha anche affermato di aver affrontato il problema principale attraverso correzioni hardware in alcuni dei suoi chip e ha pianificato di fare lo stesso per altri.
Un altro motivo per cui il gruppo ha deciso di rendere pubblico in questo caso è il fatto che le vulnerabilità hanno iniziato a trapelare, al punto che le informazioni sono tornate a loro da altre fonti. Ora sono preoccupati che le persone possano essere in grado di utilizzare la vulnerabilità contro le persone che non sono protette. Non è chiaro in questa fase quali vulnerabilità rimangano effettivamente e quanto tempo potrebbe impiegare Intel per risolverle. Puoi leggere l'intera storia Qui.
Questi sono i migliori auricolari wireless che puoi acquistare ad ogni prezzo!
I migliori auricolari wireless sono comodi, hanno un suono eccezionale, non costano troppo e stanno facilmente in tasca.
Tutto ciò che devi sapere sulla PS5: data di uscita, prezzo e altro ancora.
Sony ha ufficialmente confermato che sta lavorando su PlayStation 5. Ecco tutto ciò che sappiamo finora.
Nokia lancia due nuovi telefoni Android One economici sotto i $ 200.
Nokia 2.4 e Nokia 3.4 sono le ultime aggiunte alla gamma di smartphone economici di HMD Global. Poiché sono entrambi dispositivi Android One, è garantito che riceveranno due importanti aggiornamenti del sistema operativo e aggiornamenti di sicurezza regolari per un massimo di tre anni.
Proteggi la tua casa con questi campanelli e serrature SmartThings.
Una delle cose migliori di SmartThings è che puoi utilizzare una serie di altri dispositivi di terze parti sul tuo sistema, campanelli e serrature inclusi. Poiché condividono essenzialmente lo stesso supporto SmartThings, ci siamo concentrati su quali dispositivi hanno le migliori specifiche e trucchi per giustificare l'aggiunta al tuo arsenale di SmartThings.