Kernschmelze Redux: Intel Fehler können
Hacker Siphon Geheimnisse aus Millionen von PCs
Kernschmelze Redux: Intel Fehler können Hacker
Siphon Geheimnisse aus Millionen von PCs
Alle, die Zweifel an Intels Bewertung des
Schweregrads für die MDS-Angriffe, die Forscher argumentieren. Die TU
Graz-Forscher, von denen drei zu den Spectre und Kernschmelze Anschlägen
arbeitete, bewerten die MDS-Angriffe ungefähr zwischen diesen zwei
früheren Schwachstellen, weniger ernst als Kernschmelze aber schlechter
als Gespenst. (sie weisen darauf hin, dass Intel bewertet Spectre und
Kernschmelze mit mittlerer Priorität zu, ein Urteil, mit dem sie zur
Zeit nicht einverstanden.)
VUSecs Giuffrida bemerkt, dass seinem Team $
100,000 von Intel für ihre Arbeit als Teil vom "Insektenkopfgeld"
Programm der Gesellschaft bezahlt wurde, das Forscher belohnt wer warnen
die Gesellschaft vor kritischen Fehlern. Das ist kaum die Art von für
triviale Angelegenheiten gezahltem Geld, er weist hin. Aber er sagt
auch, dass Intel an einem Punkt VUSec nur einen $ anbot, den 40,000
nerven, von einer $ 80,000 begleitetes Kopfgeld" Geschenk "-welches
Giuffrida sah, da ein Versuch, den Kopfgeldbetrag zu reduzieren,
öffentlich und auf diese Art den wahrgenommenen Schweregrad der MDS
Fehler anführte. VUSec lehnte das Angebot von mehr gesamtem Geld
zugunsten eines Kopfgelds ab, das besser reflektierte, dass der
Schweregrad seiner Befunde und es drohten, ein Insektenkopfgeld in
Protest abzulehnen. Intel änderte ihr Angebot zur vollen $ 100,000.
"Sie ist klar, was Intel tut," sagt Giufrrida.
"Es ist in ihrem Interesse zu sagen, ', nein, nach Gespenst und
Kernschmelze wir übersahen keine anderen Verwundbarkeiten; es ist
gerade, dass diese so geringfügig waren, dass sie by. rutschten'" In
einem Anruf mit telegraphierte, Intel leugnete, zu versuchen, die
wahrgenommene Größe des Kopfgelds zu manipulieren.
Während sie könnte, scheinen Sie seltsam, dass
so viele Forscher die MDS Fehler innerhalb desselben Fensters fanden,
von Zeit-so wenigste zwei unabhängige Teams von sieben Organisationen,
Plus Intel selbst-die TU Graz Forscher sagen, dass es ist, erwartet zu
werden : Die Entdeckung von Gespenst und Kernschmelze schloss auf ein
neu, zutiefst komplexe und unerforschte Angriffsoberfläche für Hacker,
eine, die ernste, Grundsicherheitsfehler in Metallwaren gut in die
Zukunft bringen konnte.
"Es gibt immer noch mehr Bestandteile, und
viele von ihnen sind überhaupt nicht dokumentiert, so dass es nicht
unwahrscheinlich ist, dass dies für eine Weile weitergeht," sagt TU
Graz' Moritz Lipp. Sein Mitforscher Daniel Gruss fügt hinzu: "Wir
erwarteten immer, dass dies uns für Jahre beschäftigt halten würde."
Seien Sie mit anderen Worten nicht überrascht, wenn mehr versteckte
Löcher im Herzen vom Prozessor Ihres Computers gefunden werden, damit
Jahre kommen.
Aktualisiertes 5/14/19 5:30 EST mit weiteren
Informationen über Sicherheit aktualisiert von betroffenen
Gesellschaften.
https://www.wired.com/story/intel-mds-attack-speculative-execution-buffer/
