Un raport din New York Times susține că Intel a cerut în repetate rânduri unui grup de cercetători olandezi să rămână tăcut asupra vulnerabilităților în cipurile sale, în ciuda instanțelor repetate de patch-uri Intel care nu au rezolvat problema în întregime.
Vulnerabilitatea se bazează în esență pe faptul că cipurile Intel îndeplinesc adesea anumite funcții în așteptarea nevoilor de procesare pentru a accelera performanța. Cu toate acestea, dacă aceste funcții sunt întrerupte, datele create rămân în sistem pentru o perioadă scurtă de timp, în timp ce aceste date sunt procesate sau stocate, fiind vulnerabile la extragere de către hackeri.
Cercetătorii de la Vrije Universiteit Amsterdam au descoperit și au raportat vulnerabilități la procesoarele Intel în septembrie 2018. Potrivit raportului, un patch Intel lansat pentru a remedia problema în luna mai nu a abordat complet problema. Ca atare, un al doilea patch a fost lansat marți, 12 noiembrie 2019, care se pare că ar fi trebuit să rezolve toate problemele. Asta este cel puțin, potrivit cercetătorilor. Raportul notează:
Ar mai fi încă șase luni înainte ca un al doilea patch, dezvăluit public marți de companie, să aibă loc remediază toate vulnerabilitățile pe care Intel le-a indicat au fost remediate în luna mai, au spus cercetătorii într-un articol recent interviu.
Mesajul public de la Intel a fost „totul este fix”, a declarat Cristiano Giuffrida, profesor de informatică la Vrije Universiteit Amsterdam și unul dintre cercetătorii care au raportat vulnerabilități. „Și am știut că nu era exact.”
Inexactitatea la care se referă presupus Giuffrida este faptul că patch-ul furnizat marți nu remediază un alt defect despre care se spune că i-au spus Intel în mai:
Acum, cercetătorii olandezi susțin că Intel face din nou același lucru. Ei au spus că noul patch lansat marți încă nu remediază un alt defect pe care l-au furnizat Intel în luna mai.
Intel a recunoscut că patch-ul din mai nu a remediat tot ceea ce au prezentat cercetătorii și nici remediul de marți. Dar „reduc foarte mult” riscul de atac, a spus Leigh Rosenwald, purtător de cuvânt al companiei.
Raportul notează practica standard a industriei în jurul acestui tip de lucruri, prin care companiile de securitate care descoperă vulnerabilitățile și le raportează deseori sunt de acord să nu-și publice concluziile până când o companie nu poate elibera un patch pentru a remedia problemă. Acesta este motivul pentru care nu auziți despre majoritatea vulnerabilităților de securitate decât după ce acestea sunt remediate. Cercetătorii olandezi susțin că au rămas tăcuți timp de opt luni după raportul inițial adresat Intel. Când Intel a lansat o soluție în mai, au devenit conștienți de faptul că patch-ul nu include toate exploatările despre care le spusese Intel și li s-a cerut să rămână tăcut încă șase luni. Se pare că li s-a cerut, de asemenea, să modifice o lucrare pe care plănuiseră să o prezinte la o conferință de securitate.
Raportul susține că, după eliberarea de marți, grupului i sa cerut din nou să rămână tăcut, totuși au refuzat, de unde și această poveste:
„Credem că este timpul să spunem pur și simplu lumii că nici acum Intel nu a rezolvat problema”, a spus Herbert Bos, un coleg al domnului Giuffrida și al domnului Razavi la Vrije Universiteit Amsterdam
Raportul sugerează în continuare că Intel ar fi putut trece cu vederea unele dintre exploatările „dovezii de concept” furnizate de grup și că, în făcând acest lucru, nu a reușit să descopere alte vulnerabilități, motiv pentru care Intel nu a reușit să corecte toate vulnerabilitățile o singură dată:
"Sunt încă multe tone de vulnerabilități, suntem siguri", a spus domnul Bos. „Și nu intenționează să facă o inginerie de securitate adecvată până când nu este în joc reputația lor... „Multe dintre atacurile pe care le-au ratat au fost câteva linii de cod diferite de celelalte. Uneori o singură linie de cod ", a spus domnul Giuffrida. „Implicația acestui lucru este, desigur, îngrijorătoare. Înseamnă că până nu le oferim toate variantele posibile ale problemei, nu vor rezolva efectiv problema. "
O purtătoare de cuvânt a Intel a spus că compania a „redus foarte mult” riscul de atac. Ea a mai spus că a abordat problema de bază prin remedieri hardware în unele dintre cipurile sale și a planificat să facă același lucru și pentru altele.
Un alt motiv pentru care grupul a decis să devină public în acest caz este faptul că vulnerabilitățile au început să se scurgă, până la punctul în care informațiile le-au revenit din alte surse. Acum sunt îngrijorați de faptul că oamenii ar putea folosi vulnerabilitatea împotriva persoanelor care nu sunt protejate. Rămâne neclar în această etapă ce vulnerabilități rămân de fapt și cât timp poate dura Intel pentru a le remedia. Puteți citi povestea completă aici.
Acestea sunt cele mai bune căști fără fir pe care le puteți cumpăra la orice preț!
Cele mai bune căști fără fir sunt confortabile, sună grozav, nu costă prea mult și se încadrează ușor într-un buzunar.
Tot ce trebuie să știți despre PS5: data lansării, prețul și multe altele.
Sony a confirmat oficial că lucrează la PlayStation 5. Iată tot ce știm despre asta până acum.
Nokia lansează două noi telefoane Android One bugetare sub 200 USD.
Nokia 2.4 și Nokia 3.4 sunt cele mai noi adăugiri la gama bugetară de smartphone-uri HMD Global. Deoarece ambele sunt dispozitive Android One, li se garantează că primesc două actualizări majore ale sistemului de operare și actualizări regulate de securitate timp de până la trei ani.
Asigurați-vă casa cu aceste sonerii și încuietori SmartThings.
Unul dintre cele mai bune lucruri despre SmartThings este că puteți utiliza o serie de alte dispozitive terțe pe sistemul dvs., sonerii și încuietori incluse. Întrucât toți au în comun același suport SmartThings, ne-am concentrat asupra dispozitivelor care au cele mai bune specificații și trucuri pentru a justifica adăugarea lor la arsenalul dvs. SmartThings.