Intel corrigió 236 errores en 2019 y solo el 5% (11 errores) eran vulnerabilidades de la CPU


intel-cpu-cves.png

Imagen: Intel

En la conferencia de seguridad RSA 2020 en San Francisco ayer, Intel presentó un resumen de sus esfuerzos de seguridad del año pasado. En 2019, Intel dijo que solucionó 236 fallas de seguridad, de las cuales solo el 5% (11 errores) eran vulnerabilidades relacionadas con la CPU.

Los 11 errores fueron ataques de canal lateral que explotaron la arquitectura de hardware y el diseño interno de las CPU de Intel.

«Estas vulnerabilidades del canal lateral microarquitectura a menudo están estrechamente relacionadas, generalmente son difíciles de explotar y, según el conocimiento de Intel, no se han utilizado con éxito fuera de un entorno de laboratorio controlado en el momento de este informe», dijo la compañía.

Intel lanzó actualizaciones de microcódigo (firmware de CPU) para abordar todos los errores reportados. Los problemas informados incluyen los gustos de Zombieload, RIDL, Fallout, SWAPGSAttack, Zombieload v2y NetCAT.

Todos los errores mencionados anteriormente y corregidos por Intel en 2019 están estrechamente relacionados con los ahora infames errores Meltdown y Spectre que primero mostraron al mundo que Intel y otros proveedores de CPU habían estado ahorrando esquinas en la búsqueda de un mejor rendimiento y procesadores más rápidos.

Intel reaccionó a las revelaciones de errores de Meltdown y Spectre en 2017 cambiando los diseños de silicio para evitar futuros errores y reenfocando sus esfuerzos a nivel corporativo para mejorar la seguridad.

El fabricante de CPU lanzó un programa de recompensas de errores en marzo de 2017, dos meses después de que se revelaran Meltdown y Spectre, y un año después, en 2018, aumentó las recompensas de errores hasta $ 250,000 por vulnerabilidades de canal lateral de CPU.

El personal de Intel encontró el 60% de todos los errores corregidos en 2019

Pero como parte de su compromiso de «Seguridad Primero», Intel también se enfocó en construir un equipo de seguridad interno con algunos de los investigadores de seguridad de primer nivel del mundo, con la intención de encontrar errores antes de los atacantes, y la tarea de descubrir errores en los productos de la compañía antes de que lleguen almacenar estantes.

«En 2019, 144 de los 236 CVE (61%) publicados fueron descubiertos internamente por empleados de Intel», dijo la compañía.

«Creemos que documentar y publicitar vulnerabilidades encontradas internamente proporciona un nivel crítico de transparencia para nuestros clientes».

intel-cve-source.png "src =" https://zdnet2.cbsistatic.com/hub/i/2020/02/27/5302f6de-bb29-4e75-b210-277429768d94/intel-cve-source.png

Imagen: Intel

Intel también dice que de las 92 vulnerabilidades reportadas por investigadores externos, 70 (76%) fueron reportadas a Intel a través de su programa oficial de recompensas de errores, lo que sugiere que el programa se ha convertido en un éxito.

«Combinando Bug Bounty y vulnerabilidades encontradas internamente, los datos muestran que el 91% de los problemas abordados son el resultado directo de la inversión de Intel en la garantía del producto», dijo Intel.

Por último, pero no menos importante, Intel también agregó que ninguna de las 236 vulnerabilidades parcheadas en 2019 se usaron en ataques del mundo true contra sus clientes en el momento de la divulgación pública.



Enlace a la noticia first