Zero
I legislatori vogliono sapere se il segreto fosse appropriato, dato il numero di imprese “colto di sorpresa”.
Immagine: camera dei Rappresentanti Commissione Energia e Commercio
NOI legislatori vogliono sapere perché solo un paio di selezionare le aziende sapeva di Crollo e Spectre, e se questi addetti ai lavori considerato l’impatto della loro segretezza sugli altri.
I leader della camera dei Rappresentanti Commissione Energia e Commercio, hanno chiesto gli amministratori delegati di imprese a tecnologia avanzata conoscenza di embargo dettagli circa la crisi e lo Spettro di attacchi sia il segreto era appropriato, dato il numero di imprese “colto di sorpresa” quando è stata divulgata pubblicamente il 3 gennaio.
Greg Walden (R-O), Gregg Harper (R-MS), Bob Latta (R-OH), e Marsha Blackburn (R-TN) ha sollevato questione oltre l’embargo in una lettera mercoledì al Ceo di Intel, AMD, Arm, Apple, Microsoft, Amazon e Google.
Almeno parti di ogni azienda era a conoscenza della CPU difetti dal giugno del 2017, quando Google ha comunicato di Intel del canale laterale attacchi speculativi di esecuzione e i dettagli dell’embargo. Ma molti soggetti rilevanti furono notificate in ritardo o, a causa dell’embargo, in grado di valutare appieno i rischi e le vulnerabilità.
Sviluppatori del kernel Linux si lamentava di questa settimana dell’insolito il processo di comunicazione per questi difetti hardware rispetto con consolidata e i processi di funzionamento precedentemente seguita per l’industria di software a livello di difetti.
Jessie Frazelle, un software di Microsoft ingegnere che lavora su Linux, chiamato l’embargo, un “assoluto sh*tmostra” che dovrebbe essere evitato in scenari simili in futuro.
FreeBSD team di sicurezza è stato notificato solo alla fine di dicembre, data l’originale embargo data del 9 gennaio. Google primi divulgazione su gennaio 3, richiesto da una relazione sul Registro, significava FreeBSD non riusciva nemmeno a offrire agli utenti un preventivo di cui le patch dovrebbero essere pronti per il momento i difetti si sono pubbliche.
Come detto nella lettera, CI cloud ditta DigitalOcean detto i clienti su gennaio 3, che “il rigoroso embargo posto da Intel ha limitato notevolmente la nostra capacità di stabilire una completa comprensione dell’impatto potenziale”.
Carnegie Mellon CERT/CC, che svolge un ruolo importante nell’informare settore circa le vulnerabilità, non sapevo nemmeno di Fusione e di Spettro fino a quando i siti web è andato in diretta.
Download now: guida per la minaccia di una guerra cibernetica (free PDF)
E, come è diventato evidente quando Microsoft ha rilasciato il suo out-of-band di Windows, correzioni, molti fornitori di software antivirus non erano pronti per i primi di divulgazione.
“Mentre riconosciamo che la vulnerabilità critiche come queste creano impegnativo trade-off tra la divulgazione e la segretezza, come l’informazione può dare agli attori dannosi, in tempo per sfruttare le vulnerabilità prima che le attenuazioni sono sviluppati e distribuiti, noi crediamo che questa situazione ha evidenziato la necessità di un ulteriore controllo per quanto riguarda multi-partito coordinato vulnerabilità informativa,” i dirigenti della commissione, ha scritto.
Il legislatore vuole sentire da ogni società, perché l’embargo imposto e che la propone. Vogliono anche sapere quando US-CERT CERT/CC è stato informato. E, infine, se sia o non è una delle società con la conoscenza, ha valutato il potenziale impatto dell’embargo di infrastrutture critiche, fornitori e altri fornitori di servizi IT.
Aggiornamento: In una dichiarazione, Intel ha detto: “La sicurezza dei nostri clienti e i loro dati è fondamentale per noi. Apprezziamo le domande dell’Energia e Commercio Comitato di benvenuto e la possibilità di continuare il nostro dialogo con il Congresso su questi importanti temi. In aggiunta ai nostri recenti incontri con legislativa membri del personale, di cui abbiamo discusso con il Comitato di un briefing, e siamo lieti che incontro.”
Precedente e relativa copertura
Spettro difetto: Dell e HP tirare Intel buggy patch, nuovi aggiornamenti del BIOS venuta
Dell e HP hanno tirato Intel patch del firmware per lo Spettro di attacco.
Windows 10 Meltdown-Spectre patch: Nuovi aggiornamenti portare fix per l’impossibilità di riavviare il Pc AMD
AMD Pc ora possibile installare Microsoft Windows update con le correzioni per Crollo e Spectre e il bug che ha causato i problemi di avvio.
Meltdown-Spectre: Intel dice più recente chip colpito anche indesiderate, si riavvia dopo la patch
Intel firmware fix per Spectre è anche la causa di un più alto si riavvia in Kaby Lago e Cpu Skylake.
Meltdown-Spectre: Oracle critical patch update offre correzioni contro la CPU attacchi
L’impresa il gigante del software sta lavorando Spettro correzioni per Solaris Sparc V9.
Windows Meltdown-Spectre: attenzione ai falsi patch di diffusione di malware
I criminali devono ancora sfruttare Crollo e Spectre, ma si gioca su utenti e le incertezze circa la CPU difetti di malware e phishing.
Linux vs Tracollo: Ubuntu ottiene il secondo aggiornamento dopo il primo avvio non riesce
Ora distribuzioni Linux colpito dal Crollo patch problemi.
Il 26% delle organizzazioni non ho ancora ricevuto Windows Crollo e Spectre patch (Tech Repubblica)
Circa una settimana dopo che l’aggiornamento è stato rilasciato, molte macchine, manca ancora il fix per il critico è impegnativo vulnerabilità.
Cattive notizie: Uno Spettro-come difetto probabilmente succederà di nuovo (CNET)
I nostri dispositivi non può mai essere veramente sicuro, dice l’amministratore delegato della società che progetta il cuore della maggior parte dei chip mobile.
Argomenti Correlati:
Amazon
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0