Diit.cz - Novinky a informace o hardware, software a internetu

Univerzita: Intel se nás snažil uplatit, abychom zatajili RIDL

Vrije Universiteit Amsterdam si může udělat již druhý zářez za zveřejnění šokující informace. Krom objevu bezpečnostní díry RIDL totiž pracovníci přiznali, že se je Intel pokusil uplatit…

Bývalý CEO Intelu, Brian Krzanich, který své křeslo opustil v roce 2018, nakonec může být rád. Stávajícímu šéfovi, Robertu Swanovi, nezůstaly k řešení zrovna radostné záležitosti. Poté, co došlo k odhalení slabiny ZombieLoad a dále RIDL a Fallout, které se Intel snaží - zatím více-méně úspěšně - bagatelizovat, má k řešení další průšvih. Ten ale už nemůže hodit na předchozí vedení, vznikl totiž plně za jeho šéfování.

Bezpečnostní výzkumníci z Vrije Universiteit Amsterdam, se totiž nechali slyšet, že se je Intel pokusil uplatit. Žádal po nich zatajení bezpečnostní slabiny RIDL objevené v loňském roce a veřejně odhalené nyní v polovině května. Nizozemský Nieuwe Rotterdamsche Courant publikoval zprávu, ve které je popsána nabídka $40 000 dolarů ze strany Intelu, pokud přistoupí na požadavky Intelu a situaci bagatelizují či zamlčí. Dokumentuje i následné navýšení nabídky částkou $80 000 poté, co výzkumníci první nabídku odmítli. Ti ovšem odmítli i druhou nabídku a jednání Intelu po skončení NDA zveřejnili.

Tzv. štědrostní program bezpečnostních slabin Intelu je zajištěn smlouvami (v anglofonním světě označovanými zkratkou CYA), které jsou právně postaveny tak, aby minimalizovaly ztráty Intelu, které by mohly vzniknout objevením a zveřejněním nové slabiny. Pokud výzkumník souhlasí s těmito podmínkami, dostane štědrou finanční odměnu a vstoupí pod NDA (smlouva o mlčenlivosti), která ho zavazuje nikomu nesdělovat svá zjištění a nekomunikovat o slabině s nikým jiným, než s vymezeným okruhem autorizovaných pracovníků Intelu. Po zatajení skutečnosti před veřejností má Intel prostor k minimalizaci dopadů této bezpečnostní slabiny. Pracovníci Vrije Universiteit Amsterdam tuto nabídku opakovaně odmítli a souhlasili pouze s obvyklým dočasným (několikaměsíčním) NDA, které mohl Intel a jeho partneři využít k implementaci záplat.

Zdroje: 

Diskuse ke článku Univerzita: Intel se nás snažil uplatit, abychom zatajili RIDL

Neděle, 19 Květen 2019 - 11:51 | Ruik | Ehlo, AMD je na tom z hlediska spekulačních...
Pátek, 17 Květen 2019 - 14:10 | Peter Fodrek | Problém ,pročo čiňania licencovali Zen(Epyc)...
Pátek, 17 Květen 2019 - 11:14 | Cotije Dotoho | A to je duvod proc si cinani od AMD licencovali...
Pátek, 17 Květen 2019 - 05:59 | Peter Fodrek | To je politika white hacking. 1. Oznám autorovi...
Čtvrtek, 16 Květen 2019 - 23:13 | tombomino | Ono si spis muzes byt docela jisty, ze kdyz...
Čtvrtek, 16 Květen 2019 - 23:12 | Czech Human | No jo mezinárodní situace přituhuje, tak je asi...
Čtvrtek, 16 Květen 2019 - 22:45 | ldx | V každém případě se vědělo, že tam běží IME,...
Čtvrtek, 16 Květen 2019 - 22:27 | junk mail | Kdo lže, ten krade a může i zabít. Na...
Čtvrtek, 16 Květen 2019 - 21:21 | J D | Meltdown je čistě jenom CVE-2017-5754. To že...
Čtvrtek, 16 Květen 2019 - 21:00 | Peter Fodrek | meltdown nie je jedno cve A Systematic Evaluation...

Zobrazit diskusi