¿Por qué se revelaron Meltdown y Specter al mismo tiempo?

Question

¿Por qué se revelaron Meltdown y Specter al mismo tiempo?

#1 de Hector (11 votos)

5

Tanto Meltdown como Spectre se divulgaron públicamente el 3 de enero de 2018. (6 días antes del 9 de enero previsto originalmente).

Desde su divulgación pública, ha habido cierta confusión entre las dos vulnerabilidades y cuáles son las diferencias. Si bien los dos errores son similares, se ha dejado claro que son dos vulnerabilidades separadas con diferentes requisitos para la mitigación.

Parece extraño revelar dos vulnerabilidades críticas en toda la industria simultáneamente. ¿Las vulnerabilidades de este tipo generalmente se revelan en pares? ¿No tendría más sentido revelar las vulnerabilidades por separado para evitar confusiones?

¿Por qué se revelaron Meltdown y Specter al mismo tiempo? ¿Por qué no tratarlos como dos cuestiones distintas?

vulnerability disclosure meltdown spectre

pregunta Steven M. Vascellaro 09.01.2018 - 15:41

fuente

1 respuesta

Lea otras preguntas en las etiquetas vulnerability disclosure meltdown spectre

¿Debo desenfocar mi huella dactilar cuando comparto una imagen / escaneo de un documento que lo contiene? ¿Es necesario cifrar un campo oculto del estado de la vista ASP.NET cuando se usa el certificado SSL?

score 11 · Accepted Answer

* Actualización: Este artículo parece abarcar todo .

Los documentos de ataque comparten muchos de los mismos autores y utilizan vectores de ataque similares pero previamente desconocidos.

Ambas hazañas resultaron de los mismos cuerpos de investigación (o al menos interrelacionados). Ambos se informaron inicialmente en la misma fecha (2017-02-01) - CVE- 2017-5754 , CVE-2017-5753 , CVE-2017-5715

Así que, suponiendo que vea a ambos con una seriedad equivalente, tiene sentido que el período de embargo / divulgación fuera el mismo para cada uno. Al ver que ambos se informaron el mismo día, se esperaría que ambos fueran liberados públicamente al mismo tiempo.

Mientras tanto, desde la perspectiva de los autores, uno que se publicará antes, claramente habría llamado la atención de la prensa. Parece un enfoque más justo para que ambas partes sean igualmente reconocidas.