intel va intentar subornar la universitat holandesa per suprimir el coneixement de la vulnerabilitat dels mds | tecnologia de poder - Intel

Intel va intentar subornar la universitat holandesa per suprimir el coneixement de la vulnerabilitat de l'MDS

Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

El programa de recompensa de vulnerabilitat de seguretat d’Intel s’engloba en acords CYA dissenyats per minimitzar les pèrdues d’Intel a partir del descobriment d’una nova vulnerabilitat. Sota els seus termes, un cop un descobridor accepta la recompensa de recompensa, contracta una NDA (acord de no-divulgació) amb Intel, per a no divulgar-ne les conclusions ni comunicar-se al respecte amb cap altra persona o entitat que amb determinades persones autoritzades a Intel. Si no es coneixen els coneixements públics, Intel pot treballar en la mitigació i els pegats contra la vulnerabilitat. Intel argumenta que la informació de les vulnerabilitats que es feia pública abans que hagués tingut l'oportunitat d'abordar-los donaria temps als dolents per dissenyar i difondre programari maliciós que explota la vulnerabilitat. Aquest és un argument que la gent de VU no estava disposada a comprar i, per tant, Intel es veu obligat a divulgar RIDL, fins i tot quan les actualitzacions de microcodes, les actualitzacions de programari i el maquinari pegat només comencen a sortir.
Actualització: (17/05): Un portaveu d'Intel va comentar aquesta història.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)