인텔은 MDS 취약점에 대한 지식을 억제하기 위해 네덜란드 대학에 뇌물을 주려고했다 | 기술력 - 인텔

인텔, 뇌물 네덜란드 대학에 MDS 취약점에 대한 지식 억제



Cybersecurity researchers at the Vrije Universiteit Amsterdam, also known as VU Amsterdam, allege that Intel tried to bribe them to suppress knowledge of the latest processor security vulnerability RIDL (rogue in-flight data load), which the company made public on May 14. Dutch publication Nieuwe Rotterdamsche Courant reports that Intel offered to pay the researchers a USD $40,000 'reward' to allegedly get them to downplay the severity of the vulnerability, and backed their offer with an additional $80,000. The team politely refused both offers.

인텔의 보안 취약점 현상금 프로그램은 새로운 취약점 발견으로 인한 인텔의 손실을 최소화하기 위해 고안된 CYA 계약에 포함되어 있습니다. 조건에 따라 발견자가 현상금 보상을 수락하면 인텔과 NDA (비공개 계약)를 체결하여 인텔의 승인 된 특정인과 다른 사람이나 단체와 관련하여 조사 결과를 공개하거나 다른 사람과 커뮤니케이션하지 않습니다. 공개 지식이 보류 된 상태에서 인텔은 취약점에 대한 완화 및 패치 작업을 수행 할 수 있습니다. 인텔은 취약성 정보를 공개하기 전에 취약성 정보를 공개하면 악의적 인 사용자가 취약성을 악용하는 악성 코드를 설계하고 유포 할 시간을 갖게 될 것이라고 주장합니다. 이는 VU 직원들이 기꺼이 구매하지 않았기 때문에 인텔은 마이크로 코드 업데이트, 소프트웨어 업데이트 및 패치 된 하드웨어가 나오기 시작하더라도 RIDL을 공개하도록 강요합니��.
업데이트 : (17/05) : 인텔 대변인이이 이야기에 대해 언급했습니다.

Intel contacted us with a statement on this story pertaining to the terms of its bug bounty program: Sources: NRC.nl, EverythingIsNorminal (Reddit)