I maj kom Intel med en serie sikkerhedsopdateringer til mange af selskabets processorprodukter.
Opdateringerne skulle bl.a. fjerne flere sårbarheder knyttet til angrebsmetoder, som kaldes for ZombieLoad. Intel gav dengang indtryk af, at problemet var løst.
Nu oplyser forskerne, som opdagede ZombieLoad, at det ikke stemmer.
De oplyser i en opdatering på denne side, at de allerede i april fortalte Intel om en ny variant af ZombieLoad-angreb, som stadig kan bruges til at udnytte sårbarheder i en række af Intels processorer, inklusive processorerne i Cascade Lake-familien, som først kom på markedet i år.
ZombieLoad Variant 2
Forskerne oplyser endvidere, at de har demonstreret, at sikkerhedsrettelserne, Intel kom med i maj, som kombinerede software- og mikrokodeopdateringer, ikke var tilstrækkeligt til at forhindre angreb baseret på MDS (Microarchitectural Data Sampling).
I de nyere Cascade Lake-processorer er der foretaget designændringer i siliciumchippen, som forhindrer MDS-baserede angreb tilsvarende den første variant af ZombieLoad.
Men med ZombieLoad Variant 2 har forskerne ved Vrije Universiteit Amsterdam formået at udføre angreb også mod disse nye processorer.
I går kom Intel med en ny serie med sikkerhedsopdateringer. Ifølge sikkerhedsforskerne fjerner disse heller ikke muligheden for at benytte ZombieLoad Variant 2-angreb til at få adgang til blandt andet sensitiv information.
Bad om tavshed tre gange
Det er ikke usædvanligt, at sikkerhedsforskere går med til at lade være med at offentliggøre information om sårbarheder, indtil der er kommet et sikkerhedsfiks, som kan fjerne sårbarhederne eller afværge angreb, som udnytter dem.
Til New York Times siger sikkerhedsforskerne, at de gik med til ikke at sige noget om ZombieLoad i otte måneder, før de derefter blev bedt om tavshed i yderligere seks måneder angående det, som ikke var blevet rettet med hensyn til ZombieLoad Variant 1.
Sikkerhedsforskerne siger til New York Times, at de modvilligt gik med til at holde de resterende sårbarheder skjult for offentligheden i yderligere seks måneder, fordi de ikke ønskede, at de skulle blive kendt, før et sikkerhedsfiks er tilgængeligt.
Da Intel for tredje gang bad dem om at vente med afsløringerne, denne gang om ZombieLoad Variant 2, nægtede forskerne.
Derfor har de nu opdateret den oprindelige rapport om ZombieLoad med blandt andet information om nye varianter af angrebet.
Bekræfter delvist
En talskvinde for Intel, Leigh Rosenwald, bekræfter over for New York Times, at maj-opdateringen ikke fjernede alle sårbarhederne, sikkerhedsforskerne havde fundet, men at opdateringerne dog reducerer faren for angreb betydeligt.
Sikkerhedsopdateringerne fra Intel vil i de fleste tilfælde blive distribueret som operativsystemopdateringer eller systemopdateringer fra leverandøren af computeren eller bundkortet.
Artiklen er fra digi.no.