Intel hat versucht, die niederländische Universität zu bestechen, um das Wissen über MDS-Sicherheitslücken zu unterdrücken


Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

Das Bounty-Programm für Sicherheitslücken von Intel ist in CYA-Vereinbarungen eingebettet, die darauf abzielen, die Verluste von Intel durch die Entdeckung einer neuen Sicherheitslücke zu minimieren. Sobald ein Entdecker die Kopfgeldprämie akzeptiert, schließt er eine NDA (Geheimhaltungsvereinbarung) mit Intel ab, um seine Erkenntnisse nicht weiterzugeben oder in Bezug auf andere Personen oder Organisationen als bestimmte autorisierte Personen bei Intel zu kommunizieren. Mit vorenthaltener öffentlicher Kenntnis kann Intel an Schadensbegrenzung und Patches gegen die Sicherheitsanfälligkeit arbeiten. Intel argumentiert, dass Informationen über Sicherheitsanfälligkeiten, die veröffentlicht werden, bevor sie behoben werden können, den Bösewichten Zeit geben würden, Malware zu entwickeln und zu verbreiten, die die Sicherheitsanfälligkeit ausnutzt. Dies ist ein Argument, das die Leute an der VU nicht kaufen wollten, und daher ist Intel gezwungen, RIDL offenzulegen, auch wenn Mikrocode-Updates, Software-Updates und gepatchte Hardware erst zu erwarten sind.
Aktualisierung: (17/05): Ein Intel-Sprecher kommentierte diese Geschichte.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)