Teknoloji şirketlerinin Amerikan kongresine gönderdiği mektuplara göre Intel, kendisine sorun bildirildikten altı ay sonra bile Meltdown ve Spectre Açıklarını ABD’li siber güvenlik görevlilerine bildirmedi. Ancak kamuoyuna açıklandıktan sonra bilgi verildi.
Mevcut ve eski ABD hükümet yetkilileri, kusurların potansiyel olarak ulusal güvenlik açısından sorun taşıdığı için kamuya açıklanmadan önce hükümetin haberdar edilmesi gerektiğini söylediler. Intel, bilgisayar korsanlarının bu güvenlik açıklarını kullanmadığı için kusurların ABD makamlarıyla paylaşılmasının gerekli olmadığını düşünüyor.
Intel, The Register sitesinde açıkların yayınlandığı, 3 Ekim’e kadar Meltdown ve Specter hakkında US-CERT Amerika Birleşik Devletleri Bilgisayar Acil Hazırlık Ekibine bilgi vermedi. US-CERT, siber güvenlik sorunlarıyla ilgili kamuya ve özel sektöre yönelik uyarılar veriyor.
Alphabet, Google Project Zero’daki güvenlik araştırmacılarının, chip üreticilerine Intel, Advanced Micro Devices Inc ve SoftBank Group Corp’un sahip olduğu ARM Holdings’in sorunları Haziran ayında bildiklerini söyledi.
Çip üreticilerine, kamuoyuna açıklanmadan önce konunun düzeltilmesi için 90 gün verdi. Siber güvenlik endüstrisindeki standart uygulama, bilgisayar korsanlarının kusurlardan yararlanabilmeleri için bunları düzeltmek için hata zamanı hedefi vermeyi amaçladı.
Alphabet, hükümet yetkililerini, standart kanıt olan çip imalatçılarına kadar olan güvenlik kusurlarını bildirip bildirmeme kararını bıraktığını açıkladı.
Intel, hükümet yetkililerini bilgilendirmediğini, çünkü “bu güvenlik açıklarından herhangi birinin kötü amaçlı aktörler tarafından sömürülmekte olduğuna dair bir gösterge olmadığını” söyledi.
Intel, kusurların kritik altyapıya zarar verip vermeyeceğine ilişkin bir analiz yapmadığını da belirtti, çünkü endüstriyel kontrol sistemlerini etkileyebileceğini düşünmedi. Ancak Intel, mektubuna göre, konunun cipsini kullanan diğer teknoloji şirketlerine bilgi verdiğini söyledi.
Microsoft, çeşitli virüsten koruma yazılımı üreticilerine, uyumluluk sorunlarından kaçınmak için zaman tanıyacakları kamuya açıklanandan önce “birkaç hafta” olan kusurları bildirdiğini söyledi. AMD, alfabenin açıklama son tarihini standart 90 günden itibaren iki kez ilk kez 3 Ocak’a, daha sonra 9 Ocak’a kadar genişlettiğini söyledi.