Opennet

Компания Intel опубликовала сведения о новом классе уязвимостей в своих процессорах — MDS (Microarchitectural Data Sampling). Как и прошлые атаки класса Spectre новые проблемы могут привести к утечке закрытых данных операционной системы, виртуальных машин и чужих процессов. Утверждается, что проблемы сперва были выявлены сотрудниками и партнёрами Intel в ходе внутреннего аудита. В июне и августе 2018 года информацию о проблемах в Intel передали независимые исследователи, после чего почти год велась совместная работа с производителями и разработчиками операционных систем по выработке и доставке исправлений, а также определении возможных векторов для атак. Процессоры AMD и ARM проблеме не подвержены.

IID>Opennet


Они их "Медиум" пометили

https://software.intel.com/security-software-guidance/software-guidance/microarchitectural-data-sampling

Здравствуйте, bzig, Вы писали:

B>Они их "Медиум" пометили

Critical выдаются только Remote Code Execution, или если атака очень простая и при этом очень широкая (как DirtyCow).
Локальные баги обычно меньше очков получают.
А Information Disclosure ещё меньше.

Кстати.

Баги в ядре линукса раньше всегда помечались максимум как Denial of Service.
С большим скрипом заставили разработчиков ядра писать реальные статусы, Local Privilege Escalation, и даже Remote Code Execution.
Но они жутко этого не любят. И всеми силами стараются закрыть баг как малозначимый. Какими-нибудь не сильно информативным описанием, очень часто даже без CVE.

Из-за чего security исправление запросто может не попасть в конкретный дистрибутив, особенно в старый (backport). Так и оставшись только в mainline. Его просто не заметят.