| 13 ноября 2019 г. — 4:33 PT
Intel по-прежнему сталкивается с уязвимостями безопасности чипов, которые затрагивают все Mac, а также компьютеры под управлением Windows и Linux, утверждают исследователи безопасности, несмотря на заявления производителя чипов об их устранении. Аналогичные уязвимости были обнаружены и устранены в процессорах ARM, но на данном этапе нет никаких предположений о наличии дальнейших проблем в них.
«Фундаментальный конструктивный недостаток» в процессорах Intel стал известен в прошлом году, а уязвимости безопасности получили названия Spectre и Meltdown. Они могли позволить злоумышленнику просматривать данные в памяти ядра, что могло включать в себя все, от кэшированных документов до паролей…
Apple и Microsoft выпустили патчи на основе исправлений Intel, но исследователи безопасности говорят, что они выявили дополнительные варианты уязвимостей, которые производитель чипов исправлял шесть месяцев – и остаются дальнейшие неисправленные уязвимости.
The New York Times сообщает, что исследователи обнародовали информацию из-за опасений, что Intel вводит людей в заблуждение.
В мае прошлого года, когда Intel выпустила патч для группы уязвимостей безопасности, найденных исследователями в процессорах компании, Intel подразумевала, что все проблемы решены.
Но это было не совсем так, по словам голландских исследователей из Свободного университета Амстердама, которые обнаружили уязвимости и впервые сообщили о них технологическому гиганту в сентябре 2018 года. Программный патч, предназначенный для исправления проблемы с процессором, устранял только некоторые из проблем, найденных исследователями […]
Публичное заявление Intel гласило: «все исправлено», — сказал Криштиану Джуффрида, профессор компьютерных наук в Свободном университете Амстердама и один из исследователей, сообщивших об уязвимостях. «А мы знали, что это не соответствует действительности».
Ответственные исследователи безопасности сначала в частном порядке раскрывают свои находки заинтересованным компаниям, обычно давая им шесть месяцев на устранение проблемы, прежде чем обнародовать информацию. Это обычно работает хорошо, предоставляя поставщикам аппаратного и программного обеспечения время для создания патчей, в то время как общественность информируется о необходимости обновления.
Но голландские исследователи говорят, что Intel злоупотребляет этим процессом […] Они заявили, что новый патч, выпущенный во вторник, по-прежнему не исправляет еще одну уязвимость, которую они предоставили Intel в мае.
Intel признала, что майский патч не исправил все, что представили исследователи, и сегодняшний патч тоже. Но они «значительно снижают» риск атаки, заявила Ли Розенвальд, представитель компании.
Исследователи говорят, что команда сотрудничала с Intel настолько долго, насколько это было возможно, но в конечном итоге они решили, что публичное раскрытие информации необходимо, во-первых, чтобы попытаться заставить компанию действовать, а во-вторых, потому что детали уязвимостей уже начали просачиваться, что позволило бы злоумышленникам создавать эксплойты.
Голландские исследователи восемь месяцев хранили молчание о проблемах, которые они обнаружили, пока Intel работала над исправлением, выпущенным в мае. Затем, когда Intel поняла, что патч не исправил все, и попросила их сохранить молчание еще шесть месяцев, компания также попросила исследователей внести изменения в статью, которую они планировали представить на конференции по безопасности, чтобы удалить любые упоминания о неисправленных уязвимостях, заявили они. Исследователи сказали, что неохотно согласились, потому что не хотели, чтобы уязвимости стали общеизвестными без исправления.
«Нам пришлось отредактировать статью, чтобы прикрыть их, чтобы мир не видел, насколько все уязвимо», — сказал Кавех Разави, также профессор компьютерных наук в Свободном университете Амстердама и член группы, сообщившей об уязвимостях.
После того, как они уведомили Intel о неисправленных уязвимостях перед выпуском патча во вторник, компания попросила исследователей хранить молчание, пока она не сможет выпустить еще один патч, сказали исследователи. Но на этот раз они отказались.
«Мы считаем, что пора просто сообщить миру, что даже сейчас Intel не решила проблему», — сказал Герберт Бос, коллега г-на Джуффрида и г-на Разави из Свободного университета Амстердама […]
«Любой может использовать [уязвимости безопасности чипов Intel] в качестве оружия. И тем хуже, если вы не обнародуете это, потому что найдутся люди, которые смогут использовать это против пользователей, которые на самом деле не защищены», — сказал г-н Разави.
Полная статья о последней главе истории об уязвимостях безопасности чипов Intel заслуживает внимания.