Bare sju selskaper var informert om eksistensen til Meltdown- og Spectre-sårbarheten før de ble kjent for alle. Den 3. januar i år ble nyheten avslørt av The Register, med utgangspunkt i et innlegg fra en AMD-ansatt i et diskusjonsforum.
I ettertid har flere kritisert Intel og de øvrige selskapene for ikke å informere flere om disse sårbarhetene. Dette gjelder både kunder og særlig amerikanske myndigheter. En komité ved Representantenes hus ba for omtrent en måned siden om en forklaring fra de sju selskapene, og nå har alle de sju svart skriftlig på henvendelsen.
Leste du denne? Se angrep i sanntid. Her stjeler han passord fra beskyttet kernel-minne
Rakk ikke å informere
Mye av det de skriver, er gammelt nytt, slik som at Intel ble varslet av Google Project Zero om sårbarhetene i juni i fjor. Det forklares videre at bransjen i stor grad følger en policy om 90 dagers hemmelighold av sårbarheter, før detaljene offentliggjøres. I dette tilfellet var konsekvensene av sårbarhetene så omfattende og komplekse at Google Project Zero gikk med på å forlenge fristen til den 9. januar.
Intel skal ha planlagt å informere blant United States Computer Emergency Readiness Team (US CERT) i forkant av denne fristen. Men teamet ble i stedet kjent med sårbarhetene gjennom presseoppslagene den 3. januar.
– Før lekkasjen skjedde, avslørte Intel informasjon om Spectre og Meltdown bare til selskaper som kunne hjelpe Intel med å forbedre sikkerheten til teknologibrukere, skriver selskapet.
I tillegg til Google, var dette bare Amazon, AMD, ARM, Apple og Microsoft.
Intel mente altså at det å informere andre, ikke ville øke mulighetene for å løse situasjonen som var oppstått.
Det har likevel blitt hevdet at det var flere enn disse aktørene som etter hvert fikk vite om sårbarhetene.
Les også: Kinesiske selskaper skal ha fått svært tidlig kjennskap til Meltdown og Spectre
Mange fikk vite noe, men ikke om hvorfor
Noen av seks andre selskapene har til en viss grad også informert andre. Blant annet skriver Microsoft at selskapet så at sikkerhetsfiksene som var under utvikling, kunne føre til kompatibilitetsproblemer med noe tredjepartsprogramvare, kanskje først og fremst antivirusprodukter. Derfor ble disse, flere uker før den planlagte offentliggjøringen, varslet om de kommende sikkerhetsoppdateringene. Dette skal ha skjedd gjennom ordinære kanaler.
– Fordi sårbarhetene ennå ikke var offentlige, og i henhold med beste praksis for CVD (Coordinated Vulnerability Disclosure), avslørte ikke Microsoft spesifikt hvilken Windows-kode som var blitt endret, heller ikke årsakene til at endringene ble gjort. Microsoft avslørte heller ikke de spesifikke sårbarhetene som var den underliggende årsaken for kodeendringene, skriver Microsoft.
I stedet ble tidlige utgaver av sikkerhetsoppdateringene inkludert i tidlige utgaver av Windows 10-bygg, som så ble distribuert gjennom standard partnerskapsprogrammer. Også dette skjedde flere uker før sårbarhetene og de første sikkerhetsfiksene ble offentliggjort.
Hensikten med dette var å gjøre det mulig for tredjepartsleverandørene å sikre at deres produkter var kompatible med Windows 10 også etter at sikkerhetsoppdateringene ble rullet ut.
Vanlig praksis
Bortsett fra den forlengede perioden hvor informasjonen om Meltdown og Spectre ble hemmeligholdt, ser det ut til at samtlige av de sju selskapene mener at håndteringen av sårbarhetene har skjedd i henhold til vanlig praksis for koordinert og ansvarlig avsløring av sårbarheter.
Det er helt andre faktorer som gjør situasjonen spesiell. Blant annet det faktum at både Intel og AMD siden juni bevisst har solgt prosessorer med sårbarheter som bare kan deaktiveres ved å skru av funksjonalitet som er viktig for ytelsen. Resultatet er at både Intel og AMD har blitt møtt med bunkevis av søksmål fra misfornøyde kunder.
Les også: Her er Intels nyeste plan for å fjerne Meltdown- og Spectre-sårbarhetene
