image

VU: Intel probeerde ernst van nieuw CPU-lek te bagatelliseren

donderdag 16 mei 2019, 14:14 door Redactie, 11 reacties

Chipgigant Intel heeft geprobeerd om de ernst van nieuwe kwetsbaarheden in de processoren te bagatelliseren, zo laat de Vrije Universiteit (VU) tegenover NRC weten. Onderzoekers van de universiteit ontdekten de beveiligingslekken waardoor aanvallers vertrouwelijke data van systemen kunnen stelen.

Alleen het uitvoeren van JavaScript in de browser van een slachtoffer is al voldoende om bijvoorbeeld wachtwoorden te stelen. De aanvallen worden ZombieLoad, RIDL en Fallout genoemd en zijn uit te voeren tegen alle Intel-processoren die vanaf 2008 zijn gemaakt. De aanvallen maken misbruik van in totaal vier kwetsbaarheden.

Intel heeft een beloningsprogramma voor onderzoekers die kwetsbaarheden in producten rapporten. Hoewel de kwetsbaarheden door teams van verschillende universiteiten waren ontdekt, was de Vrije Universiteit de enige die een beloning ontving, namelijk 100.000 dollar. Volgens de VU probeerde Intel de ernst van de kwetsbaarheden echter te bagatelliseren.

De chipgigant wilde namelijk een beloning van 40.000 dollar geven en daarnaast nog eens 80.000 dollar 'los'. Intel betaalt lagere beloningen voor kwetsbaarheden waarvan de impact kleiner is. De 100.000 dollar wordt uitgekeerd voor kwetsbaarheden die als ernstig zijn bestempeld. 30.000 dollar is er voor beveiligingslekken die in de categorie "high" vallen. Intel heeft de vier kwetsbaarheden zelf als "medium" en "low" beoordeeld, met een maximale impactscore van 6,5.

Volgens Herbert Bos, hoogleraar systeem- en netwerkveiligheid aan de VU, wilde Intel nog een half jaar met de publicatie wachten. De universiteit dwong echter af dat de details deze maand openbaar zouden worden gemaakt. Verder meldt NRC dat Intel in eerste instantie had verzuimd om Google en Mozilla over de kwetsbaarheden te informeren. Bij het CPU-lek Spectre kwamen de browserontwikkelaars met updates om internetgebruikers tegen aanvallen te beschermen.

Image

Reacties (11)
16-05-2019, 15:20 door Anoniem
"Samen 120.000 dollar? No,no, absolutely not! We let us not be-thundered.
100.000 dollar is wat we wil, en no dollarcent minder." ;P
16-05-2019, 16:55 door Anoniem
Door Anoniem: "Samen 120.000 dollar? No,no, absolutely not! We let us not be-thundered.
100.000 dollar is wat we wil, en no dollarcent minder." ;P
Ik zou zelf ook gewoon voor de 120k gaan, maakt mij het nou uit dat andere mensen het als een minder ernstig lek zien.
16-05-2019, 18:20 door Anoniem
De universiteiten en google hand in hand vs intel en de tech-industrie

Intel moet slimmere en snellere chipsets maken,het is"Onveilig"en "domme hardware"
daar willen ze van af.

Slimmere devices en chipsets en Cpu's,algoritmes,de infra-structuur moet
sneller worden en wereldwijd worden aangelegd,inclusief 5G
16-05-2019, 18:42 door Anoniem
Door Anoniem:
Door Anoniem: "Samen 120.000 dollar? No,no, absolutely not! We let us not be-thundered.
100.000 dollar is wat we wil, en no dollarcent minder." ;P
Ik zou zelf ook gewoon voor de 120k gaan, maakt mij het nou uit dat andere mensen het als een minder ernstig lek zien.

Wellicht net het verschil tussen een wetenschapper en de rest van de mensheid...
16-05-2019, 20:57 door Anoniem
Intel lijkt op Boeing, die hebben er namelijk ook geen moeite mee om gevaarlijke producten te maken.
17-05-2019, 07:24 door Anoniem
Ik zou als ik Intel was direct nieuwe processoren die nog gelanceerd moeten worden door die universiteit mede laten onderzoeken.

Iedereen blij.

Wellicht enig zins vertraging voor de productie maar Imagoschade zit je ook niet op te wachten.

Maar ja eventueel toekomstig onderzoek zal dan weer door andere onderzoekers geverifieerd moeten worden om belangen verstrengeling te voorkomen. Zover die niet al aanwezig is.
17-05-2019, 07:44 door Bitje-scheef
Door Anoniem: Intel lijkt op Boeing, die hebben er namelijk ook geen moeite mee om gevaarlijke producten te maken.

Toverwoorden; Rapid-development, Build-To-Order.... Innovatieve ideeën zonder enig besef waarom goed testen en inzicht hebben wat je ontwerpt met eventuele gevolgen. Complexiteit vraagt aandacht en zorg,
17-05-2019, 09:39 door Anoniem
Intel zijn cheaters. Waarom zijn Intel processors sneller dan die van AMD? Nou omdat Intel een cheater is, en dan komt nu naar buiten. Beveiliging uitschakelen om meer performance uit de chip te kunnen PERSEN.

Was AMD nu dan echt zo slecht? Dacht het niet.
17-05-2019, 10:46 door Anoniem
Door Bitje-scheef:
Door Anoniem: Intel lijkt op Boeing, die hebben er namelijk ook geen moeite mee om gevaarlijke producten te maken.

Toverwoorden; Rapid-development, Build-To-Order.... Innovatieve ideeën zonder enig besef waarom goed testen en inzicht hebben wat je ontwerpt met eventuele gevolgen. Complexiteit vraagt aandacht en zorg,

Na jarenlang ervaring bij veel verschillende vendoren moet ik je compleet gelijk geven.
Wordt het niet tijd dat vendoren deugelijke producten leveren en anders opdraaien voor de kosten?
Dat is voor ieder ander product normaal
17-05-2019, 12:39 door Bitje-scheef
Door Anoniem: Intel zijn cheaters. Waarom zijn Intel processors sneller dan die van AMD? Nou omdat Intel een cheater is, en dan komt nu naar buiten. Beveiliging uitschakelen om meer performance uit de chip te kunnen PERSEN.

Was AMD nu dan echt zo slecht? Dacht het niet.

Ja en Nee. AMD was niet slecht zeker niet, maar door de keuze van een bepaalde architectuur sommige zaken langzamer en andere wat sneller. Gelukkig kunnen ze op het moment goed meekomen. Intel werd wel erg lui.
21-05-2019, 12:22 door Anoniem
Als ik dit goed lees, dan zijn er slechts bugfixes gemaakt voor 1 van de 4 genoemde aanvallen?


Oftewel, ondanks de 2 updates die ik deze week geinstalleerd heb hiervoor, ben ik nog steeds zo lek als een mandje?

Wat moet ik dan wel doen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.