2019-05-17
【4 萬美元獎金 + 8 萬美元禮物換保密協議?!】
傳 Intel 試圖要求調查人員隱瞞新漏洞
文: Cherry Kwok / 新聞中心
文章索引: IT要聞 處理器 INTEL

在 5 月 14 日 Intel 曝出處理器存在分別為 ZombieLoad、Fallout、RIDL(Rogue In-Flight Data Load)及 Store-to-Lewarding 四個新的安全漏洞,Intel 將新漏洞威脅歸類為“低” 及“中等” 水平,已被外界質疑想淡化嚴重程度,最新再有消息聲稱 Intel 要求發現漏洞的研究人員不要對外披露調查結果,除了支付 4 萬美元的“安全漏洞賞金”之外,額外多給 80,000 美元禮物,試圖“隱瞞”關於 Intel 處理器的新發現的漏洞的訊息。

 

去年曝出 Intel 幾乎全系處理器都有 Meltdown 及 Spectre 安全漏洞,除了採取了「亡羊補牢」的方式發佈相關更新之外,為了進一步避免產品存在漏洞,Intel 推出一項專門針對側信道漏洞的新計劃,計劃有效期間若研究人員向 Intel 報告漏洞,最高可獲得賞金 25 萬美元。

 

外媒 TechPowerup 援引荷蘭 Nieuwe Rotterdamsche Courant 的報導稱,阿姆斯特丹 Vrije 大學 VUSec 團隊的研究人員發現了 Intel 處理器存在 MDS 攻擊,並在一個月前向 Intel 報告了這些漏洞,VUSec 團隊其中一個成員 Cristiano Giuffrida 表示,Intel 曾一度想向 VUSec 贈送 4 萬美元的“獎金”及 8 萬美元的“禮物” 作獎勵,要求研究人員不要對外披露調查結果。

 

Intel

 

不過,在接受 Intel “安全漏洞賞金” 計劃是被 CYA 協議所籠罩,旨在最大限度地減少 Intel 因發現新漏洞而造成的損失。根據其條款,一旦發現者接受賞金獎勵,他們就必須與 Intel 簽訂保密協議,不能與 Intel 以外的人仕披露他們的調查結果。Giuffrida 認為,這是為了減少公開曝光賞金金額,從而降低 MDS 漏洞的嚴重性。VUSec 拒絕了這個提議,並威脅稱將退出漏洞賞金計劃以示抗議,Intel 最終將獎金改為 10 萬美元。Giufrrida 認為 Intel 明顯地在衡量過他們利益的情況下,更改“安全漏洞賞金” 計劃的獎金。”

 

Intel 亦有就關於“安全漏洞賞金”計劃的報導發表了以下公告:

“我們認為,與熟識全球技術的安全研究人員合作是識別和減輕安全漏洞的關鍵部分,我們與研究人員互動的方式之一是通過我們的漏洞賞金計劃,我們在網站上提供了安全漏洞賞金的計劃要求,並清晰概述資格及獎勵時間表。”

 

MDS

分享到:
發表評論