Intel пыталась смягчить или отложить публикацию об уязвимостях MDS «наградой» в $120 000
Наши коллеги с сайта TechPowerUP со ссылкой на публикацию в нидерландской прессе сообщают, что компания Intel сделала попытку подкупить исследователей, обнаруживших уязвимости MDS. Уязвимости microarchitectural data sampling (MDS), выборка данных из микроархитектуры, обнаружены в процессорах Intel, выходящих в продажу последние 8 лет. Уязвимости были обнаружены специалистами по безопасности из Свободного университета Амстердама (Vrije Universiteit Amsterdam, VU Amsterdam). Согласно публикации в Nieuwe Rotterdamsche Courant, компания Intel предложила исследователям «награду» в $40 000 и еще сверху $80 000 за «смягчение угрозы» от выявленной «дыры». Исследователи, продолжает источник, отказались от всех этих денег.
В принципе, ничего особенного Intel не сделала. После обнаружения уязвимостей Spectre и Meltdown компания ввела в действие программу денежного вознаграждения Bug Bounty тем, кто обнаружит опасную уязвимость в платформах Intel и сообщит об этом компании. Дополнительное и обязательное условие для получения вознаграждения? об уязвимости никто кроме специально назначенных людей из Intel не должен знать. Тем самым Intel получает время для смягчения угрозы? она создает патчи и взаимодействует с разработчиками операционных систем и производителями комплектующих, например, предоставляя код для внесения исправлений в BIOS материнских плат.
В случае с обнаружением класса уязвимостей MDS у Intel практически не было времени на оперативное смягчение угрозы. Хотя заплатки почти успели к сообщению об обнаружении новых уязвимостей, Intel не успела с полным обновлением микрокода процессоров, и эти процедуры еще предстоят. Вряд ли компания планировала «подкупом» навсегда скрыть угрозу, обнаруженную командой VU Amsterdam, но время для маневра она вполне могла себе купить.
