Noll
Lagstiftarna vill veta om den tystnadsplikt som var lämpligt, med tanke på antalet företag “caught off guard”.
Bilden: AMERIKANSKA representanthusets Kommitté för Energi och Handel
AMERIKANSKA lagstiftare vill veta varför endast ett fåtal företag som visste om Härdsmälta och Spectre, och om dessa insiders anses effekterna av deras sekretessen på andra.
Ledare i representanthuset Utskottet för Energi och Handel har bett Vd för tech företag invigt embargo information om Härdsmälta och Spectre attacker om den tystnadsplikt som var lämpligt, med tanke på antalet företag “caught off guard” när det var offentliggöras den 3 januari.
Greg Walden (R-ELLER), Gregg Harper (R-MS), Bob Latta (R-OH), och Marsha Blackburn (R-TN) tog upp frågan under embargo i ett brev på onsdag Vd för Intel, AMD, Arm, Apple, Microsoft, Amazon och Google.
Åtminstone delar av varje företag hade varit medveten om CPU brister sedan juni 2017, när Google informerade Intel sida kanal attacker på spekulativa utförande och detaljer av embargot. Men många berörda parter som antingen var anmälda för sent eller på grund av embargot, det går inte att fullt ut bedöma risken för säkerhetsproblem.
Linux-kernel utvecklarna klagade denna vecka om något ovanligt avslöjande processen för dessa hårdvara brister jämfört med väletablerade och fungerande processer tidigare följt för branschen programvara brister.
Jessie Frazelle, en Microsoft-programvara ingenjör som fungerar på Linux, kallas detta embargo en “absolut sh*tshow” som bör undvikas i liknande scenarion i framtiden.
FreeBSD: s säkerhetsgrupp bara var anmälda i slutet av December och med tanke på de ursprungliga embargo dag 9 januari. Googles tidigt offentliggörande den 3 januari, med anledning av en rapport om Registret, innebar FreeBSD kunde inte ens erbjuda användarna en uppskattning av när patchar skulle vara klart i tid till de brister som var offentliga.
Som nämnts i brevet OSS moln fast DigitalOcean berättade kunder den 3 januari att “den strikta restriktioner av Intel har avsevärt begränsat vår förmåga att skapa en övergripande förståelse av den potentiella effekten”.
Carnegie Mellon ‘ s CERT/CC, som spelar en viktig roll i att informera industrin om sårbarheter, visste inte ens om Härdsmälta och Spectre tills de webbplatser som gick live.
Ladda ner nu: DET ledande guide till hotet om cyberwarfare (gratis PDF)
Och, något som blev uppenbart när Microsoft släppte sin out-of-band-Windows-korrigeringar, många leverantörer av antivirusprogram inte var förberedda för tidigt utlämnande heller.
“Samtidigt som vi erkänner att kritiska sårbarheter som dessa skapa utmanande avvägningar mellan utlämnande och hemlighållande, som förtida utlämnande kan ge skadliga aktörer tid att utnyttja sårbarheter innan åtgärden är utvecklat och distribuerat, vi tror att den här situationen har visat att det finns behov för extra kontroll om multi-part samordnad sårbarhet information,” kommittén ledare skrev.
Lagstiftarna vill höra från varje företag varför embargo och som föreslog det. De vill också veta när US-CERT och CERT/CC var informerade. Och slutligen, om någon av företag med kunskap hade bedömt den potentiella effekten av embargot mot kritisk infrastruktur och andra IT-leverantörer.
Intel sade att det uppskattade frågor från Energi-och ekonomiutskottet och välkomnade möjligheten att fortsätta sin dialog med Kongressen om dessa viktiga frågor.
“Förutom våra senaste möten med lagstiftande personal, vi har diskuterat med Kommittén att en person genomgång, och vi ser fram emot att möte” Intel berättade ZDNet.
Tidigare och relaterade täckning
Spectre fel: Dell och HP dra Intels buggy patch, ny BIOS-uppdateringar kommer
Dell och HP har dragit Intels firmware uppdateringarna för den Hotande angrepp.
Windows 10 Härdsmälta-Spectre patch: Nya uppdateringar ta fix för unbootable AMD-Datorer
AMD-Datorer kan nu installera om Microsoft Windows update med korrigeringar för Härdsmälta och Spectre och bugg som orsakade boot problem.
Härdsmälta-Spectre: Intel säger nyare marker också drabbas av oönskade omstarter efter patch
Intels inbyggda programvaran fix för Spectre är också orsakar högre startas på Kaby Sjön och Skylake Processorer.
Härdsmälta-Spectre: Oracle är kritisk patch erbjuder korrigeringar mot CPU-attacker
Företaget mjukvarujättens arbetar på Spectre korrigeringar för Solaris på Sparc-V9.
Windows Härdsmälta-Spectre: Se upp för falska fläckar som sprider skadlig kod
Brottslingar har ännu inte utnyttja Härdsmälta och Spectre, men de spelar på användarnas osäkerhet om CPU-brister i deras skadlig kod och nätfiske.
Linux vs Härdsmälta: Ubuntu får andra uppdatering efter första misslyckas att starta upp
Nu Linux-distributioner och drabbas av Härdsmälta patch frågor.
26% av de organisationer som ännu inte har fått Windows Härdsmälta och Spectre fläckar (Tech Republic)
Ungefär en vecka efter den uppdateringen släpptes, många maskiner som fortfarande saknar den rätta för den kritiska CPU sårbarheter.
Dåliga nyheter: En Spectre-liknande fel kommer troligen att hända igen (CNET)
Våra enheter kan aldrig vara riktigt säker, säger VD för företaget som designar hjärtat av de flesta mobila marker.
Relaterade Ämnen:
Amazon
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0