Chipgigant Intel heeft geprobeerd om de ernst van nieuwe kwetsbaarheden in de processoren te bagatelliseren, zo laat de Vrije Universiteit (VU) tegenover NRC weten. Onderzoekers van de universiteit ontdekten de beveiligingslekken waardoor aanvallers vertrouwelijke data van systemen kunnen stelen.

Alleen het uitvoeren van JavaScript in de browser van een slachtoffer is al voldoende om bijvoorbeeld wachtwoorden te stelen. De aanvallen worden ZombieLoad, RIDL en Fallout genoemd en zijn uit te voeren tegen alle Intel-processoren die vanaf 2008 zijn gemaakt. De aanvallen maken misbruik van in totaal vier kwetsbaarheden.

Intel heeft een beloningsprogramma voor onderzoekers die kwetsbaarheden in producten rapporten. Hoewel de kwetsbaarheden door teams van verschillende universiteiten waren ontdekt, was de Vrije Universiteit de enige die een beloning ontving, namelijk 100.000 dollar. Volgens de VU probeerde Intel de ernst van de kwetsbaarheden echter te bagatelliseren.

De chipgigant wilde namelijk een beloning van 40.000 dollar geven en daarnaast nog eens 80.000 dollar 'los'. Intel betaalt lagere beloningen voor kwetsbaarheden waarvan de impact kleiner is. De 100.000 dollar wordt uitgekeerd voor kwetsbaarheden die als ernstig zijn bestempeld. 30.000 dollar is er voor beveiligingslekken die in de categorie "high" vallen. Intel heeft de vier kwetsbaarheden zelf als "medium" en "low" beoordeeld, met een maximale impactscore van 6,5.

Volgens Herbert Bos, hoogleraar systeem- en netwerkveiligheid aan de VU, wilde Intel nog een half jaar met de publicatie wachten. De universiteit dwong echter af dat de details deze maand openbaar zouden worden gemaakt. Verder meldt NRC dat Intel in eerste instantie had verzuimd om Google en Mozilla over de kwetsbaarheden te informeren. Bij het CPU-lek Spectre kwamen de browserontwikkelaars met updates om internetgebruikers tegen aanvallen te beschermen.

Intel

Reacties mogelijk gemaakt door CComment