¿Por qué se revelaron Meltdown y Specter al mismo tiempo?

5

Tanto Meltdown como Spectre se divulgaron públicamente el 3 de enero de 2018. (6 días antes del 9 de enero previsto originalmente).

Desde su divulgación pública, ha habido cierta confusión entre las dos vulnerabilidades y cuáles son las diferencias. Si bien los dos errores son similares, se ha dejado claro que son dos vulnerabilidades separadas con diferentes requisitos para la mitigación.

Parece extraño revelar dos vulnerabilidades críticas en toda la industria simultáneamente. ¿Las vulnerabilidades de este tipo generalmente se revelan en pares? ¿No tendría más sentido revelar las vulnerabilidades por separado para evitar confusiones?

¿Por qué se revelaron Meltdown y Specter al mismo tiempo? ¿Por qué no tratarlos como dos cuestiones distintas?

    
pregunta Steven M. Vascellaro 09.01.2018 - 15:41
fuente

1 respuesta

11

* Actualización: Este artículo parece abarcar todo .

Los documentos de ataque comparten muchos de los mismos autores y utilizan vectores de ataque similares pero previamente desconocidos.

Ambas hazañas resultaron de los mismos cuerpos de investigación (o al menos interrelacionados). Ambos se informaron inicialmente en la misma fecha (2017-02-01) - CVE- 2017-5754 , CVE-2017-5753 , CVE-2017-5715

Así que, suponiendo que vea a ambos con una seriedad equivalente, tiene sentido que el período de embargo / divulgación fuera el mismo para cada uno. Al ver que ambos se informaron el mismo día, se esperaría que ambos fueran liberados públicamente al mismo tiempo.

Mientras tanto, desde la perspectiva de los autores, uno que se publicará antes, claramente habría llamado la atención de la prensa. Parece un enfoque más justo para que ambas partes sean igualmente reconocidas.

    
respondido por el Hector 09.01.2018 - 16:06
fuente

Lea otras preguntas en las etiquetas