Pada 3 Januari 2018, Intel secara terbuka mengumumkan informasi tentang kerentanan serius
Meltdown dan
Specter , yang, pada tingkat yang berbeda-beda, hampir semua prosesor yang saat ini digunakan di komputer desktop, server, tablet, smartphone, dll rentan. Kerentanan terkait dengan mekanisme pelaksanaan spekulasi instruksi. dalam prosesor modern - dan ini adalah bug keamanan CPU paling serius yang ditemukan dalam beberapa tahun terakhir.
Siaran pers itu rencananya akan diterbitkan pada 9 Januari, tetapi pada 2 Januari, informasi
dibocorkan ke publik oleh The Register .
Tentu saja, Intel menyadari kerentanan jauh lebih awal daripada yang diumumkan kepada masyarakat umum (pada kenyataannya, bug ditemukan pada Juni 2017 oleh salah satu anggota departemen keamanan Google Project Zero). Sebelumnya, perlu untuk mengembangkan tambalan, memberi tahu produsen peralatan dan meningkatkan sistem di pusat data penyimpanan cloud. Yang paling menarik, menurut sumber informasi, Intel memberi tahu mitra Cina tentang kerentanan sebelum mereka melaporkannya ke lembaga pemerintah AS,
menulis The Wall Street Journal .
Di satu sisi, urutan ini tampaknya masuk akal dari sudut pandang pengembangan tambalan. Tetapi beberapa ahli menyatakan keprihatinan bahwa karena kebijakan Intel seperti itu, badan intelijen Cina bisa mengetahui tentang kerentanan lebih awal daripada kerentanan Amerika dan menggunakannya sebelum patch dirilis.
Peneliti mencatat bahwa ini hanya asumsi spekulatif. Faktanya, tidak ada bukti yang mengungkapkan bahwa serangan semacam itu benar-benar terjadi. Tetapi dalam kasus serangan yang ditargetkan pada target tertentu, informasi tentang mereka mungkin tidak muncul ke permukaan - atau serangan mungkin tidak diketahui, atau korban lebih memilih untuk tetap diam tentang insiden tersebut. Jadi kurangnya jejak saat ini tidak menjamin bahwa peretas China tidak mengambil keuntungan dari informasi yang diterima.
Seorang juru bicara Departemen Keamanan Dalam Negeri (DHS) mengatakan para karyawannya mengetahui tentang kerentanan dari berita 3 Januari.
Perwakilan NSA juga
mengakui bahwa mereka tidak tahu apa-apa tentang bug dan tidak bisa mengeksploitasi mereka. Meskipun dia membuat reservasi, dia mengerti bahwa tidak semua orang akan mempercayai kata-katanya.
Namun demikian, kerentanannya sangat serius dan tunduk pada begitu banyak prosesor (hampir semua komputer) sehingga agen intelijen mana pun di dunia akan membayar mahal untuk informasi tentang kerentanan tahun lalu. Mantan karyawan NSA, Jake Williams, "hampir pasti" yakin bahwa lembaga pemerintah Cina menerima informasi tentang Meltdown dan Specter sebelumnya karena mereka secara rutin melacak komunikasi antara Intel dan perusahaan-perusahaan Cina, termasuk produsen perangkat keras dan perusahaan hosting awan.
Sentimen paranoid para ahli cukup dibenarkan, karena di masa lalu sudah ada bukti partisipasi peretas "negara" China dalam pengembangan eksploitasi dan serangan terhadap target asing menggunakan kerentanan perangkat lunak 0day. Sekarang situasinya tidak jauh berbeda, kecuali bahwa kerentanannya lebih serius.
Perwakilan Intel menolak untuk memberikan daftar perusahaan yang diberi informasi sebelumnya tentang 0day dalam prosesor dan yang bekerja dengan mereka sebelumnya untuk menyelesaikan konsekuensi. Tentu saja, Google ada di antara mereka (pada kenyataannya, karyawannya menemukan bug). Intel mengatakan bahwa di antara mereka juga ada produsen komputer "kunci". Diketahui bahwa Lenovo ada di antara mereka, karena ia mengakui dalam siaran pers pada 3 Januari bahwa ia bekerja di muka untuk memperbaiki bug. Layanan cloud hosting diumumkan sebelumnya (Microsoft, Amazon, China Alibaba Group Holding, dua yang pertama melaporkan fakta ini untuk tujuan pemasaran), ARM Holdings dan beberapa lainnya.
Intel mengatakan tidak dapat memberi tahu semua orang yang diinginkannya, termasuk agen-agen intelijen AS, karena informasi tersebut diumumkan kepada publik sebelum direncanakan (2 Januari bukannya 9 Januari), tetapi alasannya tampaknya lemah.
Meskipun demikian, kebijakan Intel untuk memberi tahu hanya mitra terbesar sebelum adanya bug yang diidentifikasi menempatkan orang lain pada posisi yang tidak nyaman. Ini termasuk persaingan tidak sehat. Sebagai contoh, penyedia cloud Joylent dan DigitalOcean
masih bekerja untuk memperbaiki kerentanan, sementara perusahaan cloud hosting besar - pesaing mereka - memiliki cacat setengah tahun. Dan tidak jelas mengapa Intel tidak terlebih dahulu memberi tahu Pusat Nasional untuk Respons Darurat Komputer (CERT).