Одна из самых резонансных новостей прошлых суток — новый класс уязвимостей процессоров Intel с собирательным названием MDS (microarchitectural data sampling). Примечательно, что и в этот раз владельцы устройств на конкурирующих процессорах AMD, оказались вне зоны риска; производитель подтвердил, что его продукция не подвержена новым уязвимостям (двум из трех точно). Что же касается Intel, похоже, многие заблуждались, думая, что после истории с уязвимостями Meltdown и Spectre, их уже ничем не удивить. Новый скандал продолжает набирать обороты и сейчас выяснилось, что компания Intel, возможно, пыталась выиграть себе больше времени и купить молчание исследователей Амстердамского свободного университета (VU), обнаруживших новые уязвимости в ее процессорах. По крайней мере, это следует из недавне публикации голландского издания Nieuwe Rotterdamsche Courant, сообщает TechPowerUp.
По условиям программы Intel, максимальное денежное вознаграждение за найденную уязвимость может достигать $100 тыс. Как сообщается, руководство Intel предложило исследователям в общей сложности $120 тыс.: $40 тыс. за помощь в обнаружении уязвимости и еще дополнительные $80 тыс. за преуменьшение значимости уязвимости. Исследователи отказались принять столь щедрое предложение.
Дело в том, что обязательным условием выплаты вознаграждения является заключение стандартного соглашения о неразглашении конфиденциальной информации. То есть, приняв предложение, исследователи обязуются молчать и держать данные о найденных уязвимостях в строжайшем секрете, общаясь на эту тему только с узким кругом уполномоченных сотрудников. В Intel объясняют такой подход тем, что так они получают необходимое время разработки и устранения проблем путем выпуска соответствующих программных исправлений, а разглашение данных раньше времени повышает риск того, что злоумышленники успеют воспользоваться брешами прежде, чем их удастся закрыть. Якобы исследователей этот вариант не устроил и они решили отказаться от награды, чтобы как можно скорее поделиться с общественностью информацией об уязвимостях и связанных с ними угрозах. И здесь все сходится: обновления микрокода процессоров и соответствующее заплатки от уязвимостей для различного ПО только начали развертываться для подверженных новому классу атак устройств. Продолжение следует…