Intel пыталась смягчить или отложить публикацию об уязвимостях MDS «наградой» в $120 000″

Наши коллеги с сайта TechPowerUP со ссылкой на публикацию в нидерландской прессе сообщают, что компания Intel сделала попытку подкупить исследователей, обнаруживших уязвимости MDS. Уязвимости microarchitectural data sampling (MDS), выборка данных из микроархитектуры, обнаружены в процессорах Intel, выходящих в продажу последние 8 лет. Уязвимости были обнаружены специалистами по безопасности из Свободного университета Амстердама (Vrije Universiteit Amsterdam, VU Amsterdam). Согласно публикации в Nieuwe Rotterdamsche Courant, компания Intel предложила исследователям «награду» в $40 000 и ещё сверху $80 000 за «смягчение угрозы» от выявленной «дыры». Исследователи, продолжает источник, отказались от всех этих денег.

Intel пыталась смягчить или отложить публикацию об уязвимостях MDS «наградой» в $120 000"

В принципе, ничего особенного Intel не сделала. После обнаружения уязвимостей Spectre и Meltdown компания ввела в действие программу денежного вознаграждения Bug Bounty тем, кто обнаружит опасную уязвимость в платформах Intel и сообщит об этом компании. Дополнительное и обязательное условие для получения вознаграждения ― об уязвимости никто кроме специально назначенных людей из Intel не должен знать. Тем самым Intel получает время для смягчения угрозы ― она создаёт патчи и взаимодействует с разработчиками операционных систем и производителями комплектующих, например, предоставляя код для внесения исправлений в BIOS материнских плат.

В случае с обнаружением класса уязвимостей MDS у Intel практически не было времени на оперативное смягчение угрозы. Хотя заплатки почти успели к сообщению об обнаружении новых уязвимостей, Intel не успела с полным обновлением микрокода процессоров, и эти процедуры ещё предстоят. Вряд ли компания планировала «подкупом» навсегда скрыть угрозу, обнаруженную командой VU Amsterdam, но время для манёвра она вполне могла себе купить.


Intel пыталась смягчить или отложить публикацию об уязвимостях MDS «наградой» в $120 000″