Nul
Lovgiverne ønsker at vide, om den tavshedspligt, der er hensigtsmæssige i betragtning af antallet af virksomheder “overrumplet”.
Billede: repræsentanternes Hus i USA Udvalg om Energi og Handel
AMERIKANSKE lovgivere ønsker at vide, hvorfor det kun er nogle få virksomheder, der vidste, om Nedsmeltning og Spectre, og om disse insidere overvejet konsekvenserne af deres tavshedspligt på andre.
Ledere i repræsentanternes Hus Udvalget om Energi og Handel, har bedt den administrerende Direktører i danske virksomheder, der er indviet til embargo oplysninger om Nedsmeltning og Spectre angriber, om den tavshedspligt, der er hensigtsmæssige i betragtning af antallet af virksomheder “overrumplet”, når det blev offentliggjort på 3 januar.
Greg Walden (R-ELLER), Gregg Harper (R-MS), Bob Latta (R-OH), og Marsha Blackburn (R-TN) rejst spørgsmål over embargo i et brev på onsdag til Direktørerne for Intel, AMD og Arm, Apple, Microsoft, Amazon og Google.
I det mindste dele af hver enkelt virksomhed havde været klar over, at CPU-fejl siden juni 2017, når Google informeret Intel side-channel attacks på spekulative udførelse og detaljer af embargoen blev sat. Men mange relevante parter enten var anmeldt for sent eller på grund af embargoen, ude af stand til fuldt ud at vurdere risikoen for sårbarheder.
Linux-kerne udviklerne klagede i denne uge om den usædvanlige offentliggørelse processen for disse hardware fejl sammenlignet med veletablerede og velfungerende processer, der tidligere er fulgt i branchen software fejl.
Jessie Frazelle, en Microsoft-software ingeniør, der arbejder på Linux, kaldes denne embargo en “absolut sh*tshow”, der bør undgås i lignende scenarier i fremtiden.
FreeBSD ‘ s sikkerhed var holdet kun meddelt i slutningen af December og i lyset af den oprindelige embargo datoen for januar 9. Google ‘ s tidlige afsløring januar 3, foranlediget af en rapport om Registret, betød FreeBSD kunne ikke engang tilbyde brugere et skøn over, hvornår patches ville være klar til den tid, de mangler, der var forbudt.
Som nævnt i brevet, OS cloud fast DigitalOcean fortalte kunderne, on januar 3, at “den strenge embargo placeret ved Intel har i høj grad begrænset af vores evne til at etablere en omfattende forståelse af de potentielle konsekvenser”.
Carnegie Mellon ‘ s CERT/CC, som spiller en vigtig rolle i at informere branchen om sårbarheder, ikke engang ved, om Nedsmeltning og Spectre, indtil websites gik live.
Download nu: DET leader ‘ s guide til truslen af cyberwarfare (gratis PDF)
Og, som blev klart, da Microsoft udgav sin out-of-band Windows rettelser, mange antivirus-leverandører var ikke forberedt på den tidlige oplysning enten.
“Mens vi erkende, at kritiske sårbarheder som disse skaber udfordrende trade-offs mellem åbenhed og fortrolighed, som for tidlig offentliggørelse kan give ondsindede aktører tid til at udnytte sårbarheder før sikkerhedsproblemerne er udviklet og implementeret, vi mener, at denne situation har vist, at der er behov for yderligere kontrol vedrørende multi-party koordineret sårbarhed oplysninger,” udvalget ledere skrev.
Lovgiverne ønsker at høre fra hvert selskab, hvorfor den våbenembargo, der blev indført, og som har foreslået den. De ønsker også at vide, når US-CERT og CERT/CC blev informeret. Og endelig, om der er nogen af de virksomheder med viden havde vurderet den potentielle indvirkning af embargoen mod kritisk infrastruktur leverandører og andre IT-udbydere.
Intel sagde, at det værdsat spørgsmål fra Energy and Commerce Committee og hilste mulighed for at fortsætte sin dialog med Kongressen om disse vigtige spørgsmål.
“I tillæg til vores seneste møder med lovgivningsmæssige medarbejdere, vi har talt med Udvalget en person briefing, og vi ser frem til at møde,” Intel fortalte ZDNet.
Tidligere og relaterede dækning
Spectre fejl: Dell og HP trække Intel ‘ s buggy patch, nye BIOS-opdateringer
Dell og HP har trukket Intel ‘ s firmware-opdateringer til Genfærd angreb.
Windows 10 Nedsmeltning-Spectre patch: Nye opdateringer bringe fix for unbootable AMD Pc ‘ er
AMD Pc ‘ er kan nu installere Microsoft Windows update med rettelser til Nedsmeltning og Genfærd og den fejl, der forårsagede boot problemer.
Nedsmeltning-Spectre: Intel siger, at nyere chips også ramt af uønskede genstarter efter patch
Intel ‘s firmware rettelse til Spectre er også skyld i en højere genstarter på Kaby Søen og Skylake Cpu’ er.
Nedsmeltning-Spectre: Oracle ‘ s critical patch update tilbyder rettelser mod CPU-angreb
Virksomhedens software gigant arbejder på Spectre rettelser til på Solaris Sparc-V9.
Windows Nedsmeltning-Spectre: pas på falske patches til at sprede malware
Kriminelle har endnu til at udnytte Nedsmeltning og Spectre, men de spiller på brugernes usikkerhed om CPU-fejl i deres malware og phishing.
Linux vs Nedsmeltning: Ubuntu bliver anden opdatering, når først man undlader at starte
Nu Linux-distributioner, der bliver ramt af Nedsmeltning patch spørgsmål.
26% af organisationer har endnu ikke modtaget Windows Nedsmeltning og Spectre patches (Tech Republik)
Omtrent en uge efter, at denne opdatering blev udgivet, mange maskiner stadig mangler den rette for den kritiske CPU sårbarheder.
Dårlige nyheder: En Spectre-lignende fejl vil sandsynligvis ske igen (CNET)
Vores udstyr kan aldrig helt være sikker, siger den administrerende DIREKTØR for det firma, der designer hjertet af de fleste mobile chips.
Relaterede Emner:
Amazon
Sikkerhed-TV
Data Management
CXO
Datacentre
0