Podle článku ve Wall Street Journalu (placený odkaz) Intel sdělil detaily zranitelností Meltdown a Spectre již loni partnerským firmám, mezi kterými bylo například čínská Alibaba a Lenovo. Přitom ale neinformoval vládu USA.
Teoreticky se mohla tedy informace dostat k čínské vládě a ta ji mohla teoreticky zneužít. Intel se ohrazuje, že nestihl varovat všechny, protože chyba byla zveřejněna příliš brzy.
(zdroj: engadget)
Příliš brzy?!
Do teď nechápu jak je možný, že se firmy půl roku kopali do zadnice.
Embargo bych dal na 2 týdny. Vzhledem k tomu jak se Intelu povedla oprava mikrokódu, tak by určitě víc času nepotřebovali.
ono je otazkou, co bolo skor? A ci WSJ necerpa od "zabozrutov" LenMagIT
Security
Intel alerted computer makers to chip flaws on Nov 29 – new claim
Total coincidence: That's the same day Chipzilla's CEO sold off his shares
By Rebecca Hill 25 Jan 2018
French tech publication LeMagIT reported this week it had obtained a top-secret Intel memo sent to OEM customers on November 29 under a confidentiality and non-disclosure agreement, meaning the hardware makers were banned from discussing the file's contents.
https://www.theregister.co.uk/2018/01/25/intel_spectre_disclosed_flaws_november/
Intel reportedly warned OEMs about Meltdown and Spectre on 29 November
Yep, the same day that Krzanich sold half of his shares
26 January 2018
https://www.theinquirer.net/inquirer/news/3025330/intel-reportedly-warned-oems-about-meltdown-and-spectre-on-29-november
To se mi moc nezdá - problém s tímto bugem je, že ho může zneužít kdokoli (a to klidně proti americkým občanům/vládě/firmám - ve všech nasazeních kromě několika top secret, kde to má NSA opatchované). To nechceš. Kdybych někam dával backdoory, tak určitě tak, aby šly zneužít jen se znalostí nějakého klíče, kterou náhodný objevitel chyby nemá - což by nemělo být nic těžkého, když už má mnoho let Intel podporu pro AES, SHA a RSA. Rovnou ti to tak může dokonce ukradená data přímo v procesoru zašifrovat a bezpečně odeslat :-).
Ako prax uz velakrat ukazala, tymto trojpismenkovym je jedno, kto dalsi sa tam dostane, hlavne ked oni mozu (nakolko sa jedna o X rokov stary backdoor, je to o to realnejsie, ze sucasne moznosti ani nebrali do uvahy a potom to uz len nechali bezat - ked to funguje, naco to menit?).
A podla poctu minusov aspon vidno, kolko je tu idiot-inside-ov + oviec. Len pridavajte.
není nad si prostě myslet, že svět je napevno oddělen hranicemi a že Intel vzal neoznačenou dodávku a propašoval tajné informace cizí vládě. Humus.
Ty firmy jsou tak těsně provázané, že navzájem spolupracují, sdílejí zaměstnance a řeší společně problémy. Lenovo nejspíš má ještě řada poboček i v USA, kde provádí vývoj. Příprava nové platformy, desky, chipsetů není o tom, že mi Intel doručí v balíčku nový procesor a k němu novou dokumentaci, probíhá kontinuálně, stejně tak samotné testování. Pokud se objeví HW nedostatek, nejspíš se ho samozřejmě dozví zavčasu, už jen to, že mikrodód musí distribuovat také.
Tady to spíše vypadá, že dlouho nikomu nedošlo jak moc je to velký průser a aktivně se o tom začalo diskutovat až po zveřejnění zápisku od Googlu, kdoví, jestli svoje PoC měl google dříve a poskytl ho zavčasu nebo tuhle ukázku vytvořil až během těch měsíců co na tom Intel pracoval. To je také možné, že popis chyby v tomhle stavu nebyl vždycky.
Spekulovat a vymýšlet si pohádky ale můžeme pořád a bez informací, že?
