Nul
De wetgevers willen weten of de geheimhouding was nodig, gezien het aantal van de ondernemingen “gevangen off guard”.
Beeld: AMERIKAANSE Huis van Afgevaardigden Commissie voor Energie en Handel
ONS wetgevers willen weten waarom slechts een select aantal bedrijven is op de hoogte Kernsmelting en Spectre, en of deze insiders beschouwd als de impact van hun geheimhouding op anderen.
De leiders van het Huis van Afgevaardigden van de Commissie voor Energie en Handel gevraagd hebben de Ceo ‘ s van tech bedrijven ingewijd embargo details over de Crisis en de Spectre aanvallen of de geheimhouding was nodig, gezien het aantal van de ondernemingen “gevangen off guard” als het was in het openbaar op 3 januari.
Greg Walden (R-OF), Gregg Harper (R-MS), Bob Latta (R-OH), en Marsha Blackburn (R-TN) gestelde vraag over het embargo in een brief op woensdag naar de Ceo ‘ s van Intel, AMD, Arm, Apple, Microsoft, Amazon en Google.
Ten minste delen van elk bedrijf op de hoogte was geweest van de CPU gebreken sinds juni 2017, wanneer Google de hoogte Intel van de side-channel aanvallen op speculatieve uitvoering en de details van het embargo zijn geplaatst. Maar vele relevante partijen werden aangemeld of laat, door het embargo, niet volledig beoordelen het risico van de kwetsbaarheden.
Linux kernel ontwikkelaars klaagde deze week over de ongewone openbaring proces voor deze hardware fouten in vergelijking met gevestigde en werking van processen eerder gevolgd voor de industrie-brede software fouten.
Jessie Frazelle, een software-engineer die werkt op Linux, genaamd dit embargo een “absolute sh*tshow” dat moet vermeden worden in vergelijkbare scenario ‘ s in de toekomst.
Het FreeBSD-security team was alleen aangemelde eind December en gezien de oorspronkelijke embargo datum van 9 januari. Google ‘ s vroege bekendmaking op januari 3, gevraagd een rapport op basis van Het Register, bedoeld FreeBSD zelfs niet kon bieden gebruikers een schatting van wanneer patches zou klaar zijn tegen de tijd dat de gebreken werden openbaar.
Zoals vermeld in de brief, ONS cloud firma DigitalOcean vertelde klanten op januari 3, dat “de strikte embargo geplaatst door Intel heeft aanzienlijk beperkt ons vermogen om een omvattend begrip van de mogelijke impact”.
Carnegie Mellon ‘ s CERT/CC speelt een belangrijke rol bij het informeren van de sector over kwetsbaarheden, wist zelfs niet over de Crisis en de Spectre tot de websites live gegaan.
Download nu: HET leader ‘ s guide op de dreiging van een cyberoorlog kunnen (gratis PDF)
En, zoals duidelijk werd toen Microsoft heeft de out-of-band Windows correcties, veel leveranciers van antivirusprogramma ‘ s waren niet voorbereid op het begin van de openbaarmaking.
“Hoewel we erkennen dat de kritieke kwetsbaarheden, zoals deze uitdagende trade-offs tussen openbaarmaking en geheimhouding, zoals voortijdige openbaarmaking kan geven kwaadwillende actoren tijd te benutten kwetsbaarheden voor oplossingen worden ontwikkeld en geïmplementeerd, wij geloven dat deze situatie heeft aangetoond dat de behoefte aan aanvullende onderzoek met betrekking tot multi-party gecoördineerd kwetsbaarheid informatieverschaffing,” het comité leiders schreef.
De wetgevers willen horen van elk bedrijf waarom het embargo werd opgelegd en die het heeft ingediend. Ook willen ze weten wanneer US-CERT en CERT/CC werd op de hoogte gesteld. En tot slot, het bestaan of niet van de bedrijven met kennis had beoordeeld op de mogelijke gevolgen van het embargo op de kritieke infrastructuur providers en andere aanbieders.
Update: In een verklaring, Intel zei: “De veiligheid van onze klanten en hun gegevens is cruciaal voor ons. Wij waarderen de vragen van de Energy and Commerce Committee en zijn blij met de mogelijkheid om in gesprek blijven met het Congres over deze belangrijke kwesties. Naast onze recente ontmoetingen met wetgevende medewerkers, die we hebben besproken met de Commissie een in-persoon, de briefing en we kijken uit naar die ontmoeting.”
Vorige en aanverwante dekking
Spectre fout: Dell en HP trek Intel buggy patch, nieuwe BIOS updates komen
Dell en HP hebben getrokken Intel firmware van patches voor de Spectre aanval.
Windows 10 Kernsmelting-Spectre-patch: Nieuwe updates brengen de oplossing voor opgestart AMD Pc ‘ s
AMD Pc ‘ s kunnen nu installeren van Microsoft Windows update uit met fixes voor de Crisis en de Spectre en de bug die ervoor zorgde dat opstartproblemen.
Meltdown-Spook: Intel zegt nieuwere chips ook getroffen door ongewenste herstart na de patch
Intel ‘s firmware correctie voor Spectre is ook veroorzaakt door een hogere start het opnieuw op Kaby Meer en Skylake Cpu’ s.
Meltdown-Spook: Oracle ‘ s critical patch update biedt oplossingen tegen CPU-aanvallen
De enterprise-software-gigant werkt op Spectre oplossingen voor Solaris op Sparc-V9.
Windows Kernsmelting-Spook: Kijk uit voor nep-patches die malware verspreiden
Criminelen hebben nog te exploiteren Kernsmelting en Spectre, maar ze spelen op de gebruikers die de onzekerheden over de CPU fouten in hun malware en phishing.
Linux vs Meltdown: Ubuntu krijgt een tweede update na de eerste weigert op te starten
Nu Linux distributies geraakt door de Crisis patch problemen.
26% van de organisaties nog niet heeft ontvangen Windows Crisis en de Spectre patches (Tech Republiek)
Ongeveer een week na de update werd uitgebracht, veel machines nog niet de fix voor de kritische CPU kwetsbaarheden.
Slecht nieuws: Een Spook-achtige fout zal waarschijnlijk weer gebeuren (CNET)
Onze apparaten mogen nooit echt veilig zijn, zegt de CEO van het bedrijf dat ontwerpt het hart van de meeste mobiele chips.
Verwante Onderwerpen:
Amazon
Beveiliging TV
Data Management
CXO
Datacenters
0