Esta semana Intel confirmó la vulnerabilidad MDS, otra vulnerabilidad que afecta la sección de predicción, especialmente en la zona de HyperThreading en los procesadores de 7ma. Generación y anteriores, y ahora se conoció que intentó pagar al equipo de la Universidad Libre de Amsterdam para evitar que confirmen esta vulnerabilidad aún cuando se supere el plazo de 90 días que se suele dar normalmente.
Este reporte de Nieuwe Rotterdamsche Courant indica que Intel ofreció U$S 40.000 a los investigadores para evitar que mencionen la vulnerabilidad, y luego llegó a ofrecer hasta otros U$S 80.000 adicionales. Aún así, el equipo se negó a todas las ofertas y Intel se vio forzada a aceptar públicamente esta vulnerabilidad.
Intel ofrece un programa de reporte de vulnerabilidades, donde los investigadores son “recompensados” por no decir nada sobre sus descubrimientos por un tiempo adicional a los 90 días que se suelen dar. Este programa es de inscripción voluntaria, aunque Intel intentó forzar al equipo a inscribirse. La idea del programa es estirar el conocimiento público hasta que se encuentre una solución, para evitar que se produzcan ataques. En este caso, aún no se tiene solución, y por eso quería ocultarse del público. La única solución que se tiene actualmente involucra vaciar constantemente los buffers, generando pérdidas de rendimiento promedio del 9%. Claramente no es viable, y por eso querían buscar otra solución.
¿Que opinan sobre estas acciones de Intel?
Fuente: TechPowerUp