Intel corrigió 236 errores en 2019 y solo el 5% (11 errores) eran vulnerabilidades de la CPU



Imagen: Intel En la conferencia de seguridad RSA 2020 en San Francisco ayer, Intel presentó un resumen de sus esfuerzos de seguridad del año pasado. En 2019, Intel dijo que solucionó 236 fallas de seguridad, de las cuales solo el 5% (11 errores) eran vulnerabilidades relacionadas con la CPU. Los 11 errores fueron ataques de canal lateral que explotaron la arquitectura de hardware y el diseño interno de las CPU Intel.
"Estas vulnerabilidades del canal lateral microarquitectura a menudo están estrechamente relacionadas, generalmente son difíciles de explotar y, según el conocimiento de Intel, no se han utilizado con éxito fuera de un entorno de laboratorio controlado en el momento de este informe", dijo la compañía. Intel lanzó actualizaciones de microcódigo (firmware de CPU) para abordar todos los errores reportados. Los problemas informados incluyeron los gustos de Zombieload, RIDL, Fallout, SWAPGSAttack, Zombieload v2 y NetCAT.
Todos los errores mencionados anteriormente y corregidos por Intel en 2019 están estrechamente relacionados con los ahora infames errores Meltdown y Spectre que primero mostraron al mundo que Intel y otros proveedores de CPU habían estado ahorrando esquinas en la búsqueda de un mejor rendimiento y procesadores más rápidos. Intel reaccionó a las revelaciones de errores de Meltdown y Spectre en 2017 cambiando los diseños de silicio para evitar futuros errores y reenfocando sus esfuerzos a nivel corporativo para mejorar la seguridad. El fabricante de CPU lanzó un programa de recompensas por errores en marzo de 2017, dos meses después de que se revelaran Meltdown y Spectre, y un año después, en 2018, aumentó las recompensas por errores hasta $ 250,000 por vulnerabilidades de canal lateral de la CPU.
Pero como parte de su compromiso de "Seguridad Primero", Intel también se enfocó en construir un equipo de seguridad interno con algunos de los investigadores de seguridad de primer nivel del mundo, con la intención de encontrar errores antes de los atacantes, y la tarea de descubrir errores en los productos de la compañía antes de que lleguen almacenar estantes. "En 2019, 144 de los 236 CVE (61%) publicados fueron descubiertos internamente por empleados de Intel", dijo la compañía. "Creemos que documentar y publicar vulnerabilidades encontradas internamente proporciona un nivel crítico de transparencia para nuestros clientes". Imagen: Intel Intel también dice que de las 92 vulnerabilidades reportadas por investigadores externos, 70 (76%), fueron reportadas a Intel a través de su programa oficial de recompensas de errores, lo que sugiere que el programa se ha convertido en un éxito. "Combinando Bug Bounty y vulnerabilidades encontradas internamente, los datos muestran que el 91% de los problemas abordados son el resultado directo de la inversión de Intel en la garantía del producto", dijo Intel. Por último, pero no menos importante, Intel también agregó que ninguna de las 236 vulnerabilidades parcheadas en 2019 se usaron en ataques del mundo real contra sus clientes en el momento de la divulgación pública.
pag VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı