Intel обвинили в попытке подкупить исследователей, обнаруживших уязвимость RIDL
Согласно условиям программы bug bounty, принимая деньги, исследователи обязуются никому не рассказывать о своей находке.
Как сообщают исследователи из Амстердамского свободного университета (Vrije Universiteit Amsterdam), Intel пыталась «подкупить» их, чтобы они умолчали об уязвимости RIDL. По данным нидерландской газеты Nieuwe Rotterdamsche Courant, компания предложила исследователям $40 тыс. в качестве вознаграждения за то, что они позволят ей занизить опасность уязвимости. Для большей убедительности Intel подкрепила свое предложение дополнительными $80 тыс., но исследователи вежливо отказались от обоих предложений. Условия программы выплаты вознаграждений за обнаруженные уязвимости Intel призваны свести к минимуму ущерб компании в случае обнаружения новых уязвимостей. Согласно условиям, если обнаруживший уязвимость исследователь принимает вознаграждение, он автоматически принимает условие о неразглашении. Исследователю запрещается сообщать кому бы то ни было о своем открытии, а также обсуждать его с третьими сторонами. Общаться по поводу обнаруженной уязвимости разрешается только с конкретными авторизованными сотрудниками Intel.
Пока информация об уязвимости не разглашается, у компании есть время ее исправить. Как поясняют в Intel, если до выхода патча о проблеме узнают злоумышленники, у них будет достаточно времени, чтобы написать эксплоит и распространить через уязвимость вредоносное ПО. Однако этот аргумент показался специалистам Амстердамского свободного университета недостаточно веским, и Intel была вынуждена сообщить о RIDL широкой общественности, хотя работа над выпуском обновлений микрокода, ПО и аппаратного обеспечения только началась.