Perché sono stati rivelati Meltdown e Spectre allo stesso tempo?

Question

Perché sono stati rivelati Meltdown e Spectre allo stesso tempo?

#1 da (11 voti)

5

Sia Meltdown e Specter le vulnerabilità sono state divulgate pubblicamente il 3 gennaio 2018. (6 giorni prima del previsto 9 gennaio).

Dal momento che il loro pubblico rivela, c'è stata una certa confusione tra le due vulnerabilità e quali sono le differenze. Anche se i due bug sono simili, è stato chiarito che questi sono due vulnerabilità separate con diversi requisiti per la mitigazione.

Sembra strano rivelare contemporaneamente due vulnerabilità critiche a livello di settore. Le vulnerabilità come queste solitamente vengono svelate in coppia? Non avrebbe più senso svelare separatamente le vulnerabilità per evitare confusione?

Perché sono stati rivelati Meltdown e Spectre allo stesso tempo? Perché non trattarli come due problemi distinti?

vulnerability disclosure meltdown spectre

posta Steven M. Vascellaro 09.01.2018 - 15:41

fonte

1 risposta

Leggi altre domande sui tag vulnerability disclosure meltdown spectre

In che modo GnuPG conosce il vettore di inizializzazione per la decodifica? È necessario crittografare un campo nascosto dello stato di visualizzazione ASP.NET quando si utilizza il certificato SSL?

score 11 · Accepted Answer

* Aggiornamento: questo articolo sembra riguardare tutto .

I documenti di attacco condividono molti degli stessi autori e usano vettori di attacco simili ma precedentemente sconosciuti.

Entrambi gli exploit derivano dagli stessi (o almeno interconnessi) corpi di ricerca. Entrambi sono stati inizialmente segnalati nella stessa data (2017-02-01) - CVE- 2017-5754 , CVE-2017-5753 , CVE-2017-5715

Quindi, presumendo che si consideri entrambi di una serietà equivalente, è logico che il periodo di embargo / divulgazione sia lo stesso per ciascuno. Visto che entrambi sono stati segnalati nello stesso giorno, ci si aspetterebbe che venissero rilasciati entrambi allo stesso tempo.

Nel frattempo, dal punto di vista degli autori, uno era stato pubblicato in precedenza e avrebbe chiaramente attirato l'attenzione della maggior parte della stampa. Sembra un approccio più equo per entrambe le parti essere ugualmente riconosciuto.