(Příliš) dobře střežené tajemství poruch Meltdown-Spectre zavlažuje hořkost

Bezpečnost: Proč bylo jen malé množství velkých výrobců informováno o nedostatcích procesorů Meltdown-Spectre, a tak se mohli na rozdíl od mnoha jiných společností připravit? Linuxové vývojáře to štve a politici se podivují nad podmínkami takového embarga.

Meltdown And Spectre 08 01 2018

Američtí politici chtějí vědět, proč jen vybraný počet společností věděl o nedostatcích Meltdown a Spectre a zda tyto chyby vzaly v úvahu dopad jejich utajení na jiné společnosti.

Představitelé sněmovního výboru pro energetiku a obchod požádali generální ředitele technologických společností o podrobnosti o útocích Meltdown a Spectre, zda je utajování vhodné nebo ne, vzhledem k tomu, kolik společností bylo „chyceno ve tmě“, zbaveno“, když byly 3. ledna propuštěny. .

Oprávněné, takové embargo?

Greg Walden (R-OR), Gregg Harper (R-MS), Bob Latta (R-OH) a Marsha Blackburn (R-TN) upozornili na problém embarga v dopise generálním ředitelům Intel, AMD, ARM, Apple. , Microsoft, Amazon a Google.

Přinejmenším někteří členové každé z těchto společností věděli o chybách CPU od června 2017, kdy Google oznámil útoky Intelu. Ale mnoho dotčených stran bylo informováno pozdě nebo kvůli embargu nemohly plně posoudit riziko těchto zranitelností.

Vývojáři linuxového jádra si tento týden stěžovali neobvyklý postup odhalování těchto nedostatků hardware vs. dobře zavedené a fungující procesy, které byly dříve sledovány kvůli celoodvětvovým softwarovým chybám.

Jessie Frazelle, softwarová inženýrka Microsoftu, která pracuje na Linuxu, označila embargo za „absolutní kecy“, které je třeba se v budoucnu v podobných scénářích vyvarovat.

Bezpečnostní tým FreeBSD nebyl informován až do konce prosince a do data embarga 9. ledna. Předčasné odhalení společnosti Google 3. ledna, vyvolané článkem v The Register, neumožnilo FreeBSD poskytnout uživatelům odhad vydání záplat.

Jak je uvedeno v dopise, americká cloudová společnost DigitalOcean 3. ledna zákazníkům sdělila, že „přísné embargo společnosti Intel výrazně omezilo naši schopnost vytvořit komplexní pochopení potenciálního dopadu.“

Privilegovaný klub informovaných společností

CERT/CC Carnegie Mellona, ​​který hraje důležitou roli v informování průmyslu o zranitelnostech, ani nevěděl, že Meltdown a Spectre existují, dokud se webové stránky popisující zranitelnost neobjevily online.

A když Microsoft vydal své záplaty Windows mimo cyklus, ukázalo se, že ani mnoho dodavatelů antivirových programů nebylo v době předčasného zveřejnění připraveno.

„I když si uvědomujeme, že takové kritické zranitelnosti vytvářejí obtížné kompromisy mezi prozrazením a utajením, přičemž předčasné odhalení potenciálně dává zlomyslným aktérům čas využít zranitelnosti před vyvinutím a nasazením zmírnění, věříme, že tato situace ukazuje potřebu pečlivého zvážení koordinovaného odhalení zranitelnosti zahrnující více stran,“ napsali američtí zákonodárci.

Zákonodárci chtějí od každé společnosti slyšet důvody tohoto embarga a jeho podněcovatele. Chtějí také vědět, ke kterému datu byly US-CERT a CERT/CC informovány. A konečně, zda některá ze známých společností posoudila potenciální dopad embarga na dodavatele kritické infrastruktury a další dodavatele technologií.

Intel říká, že oceňuje otázky Výboru pro energetiku a obchod a vítá příležitost pokračovat v dialogu s Kongresem o těchto důležitých otázkách.

"Kromě našich nedávných schůzek s legislativními pracovníky jsme s výborem diskutovali o osobní schůzce a na toto setkání se těšíme," řekl Intel ZDNet.

 

Prameny): ZDnet.fr přes Franka z Bible Atari

Doplňující informace:


Přihlaste se k odběru Daily Crashletter

Přihlaste se k odběru Crashletteru a získejte všechny nové články na webu v 17:00.

Přátelské stránky