Google je analizirao 81 potencijalni vektor napada i potvrdio 10 ranjivosti u Intel-ovim proširenjima domene povjerenja (TDX) nakon devetomjesečnog procesa revizije.
TDX je vrsta tehnologije ‘povjerljivog računanja’ napravljena da obezbijedi sigurnost za osjetljive podatke dok ih obrađuje u hardverski izolovanom okruženju. Prema Intel-u, TDX nudi nekoliko novih funkcija, uključujući pune VM računarske modele, bez potrebe za bilo kakvim promjenama koda.
“Organizacije koriste povjerljivo računarstvo kako bi kontrolisale svoje podatke i omogućile pristup povjerljivim stranama na način koji je provjerljiv, opoziv i vremenski osjetljiv” rekao je Anil Rao, potpredsjednik i generalni direktor sistemske arhitekture i inženjeringa u uredu CTO-a na Intel. “Naši rani napori s Google-om učvršćuju našu predanost da izvršimo detaljnu analizu kako bismo riješili sve potencijalne ranjivosti.”
U blog post-u objavljenom ranije danas, softverski inženjer Google osoblja Cfir Cohen i glavni inženjer za sigurnost platforme Andrés Lagar-Cavilla rekli su da su pregledali TDX firmver zbog nekoliko problema, uključujući one koji se odnose na proizvoljno izvršavanje koda (RCE), sigurno rukovanje greškama i upravljanje stanjem kao i uskraćivanje usluge (DoS). Intel je navodno otklonio sve probleme koje je Google identifikovao.
“Sada smo sretni što možemo reći da su svi problemi koje smo prijavili otklonjeni od strane Intel-a” napisali su Cohen i Lagar-Cavilla. „Sekundarni cilj je bio bolje razumijevanje očekivanog modela pretnje za Intel TDX i identifikovanje ograničenja u dizajnu i implementaciji koja bi bolje informisala Google-ove odluke o implementaciji.”
U tu svrhu, Google i Intel proveli su pregled putem zajedničkih alata za praćenje problema i redovnih tehničkih sastanaka.
“Ovo je omogućilo Intel-u da pruži duboke tehničke informacije o funkciji Intel TDX komponenti, kao i da omogući recenzentima da riješe potencijalne nejasnoće u dokumentaciji i izvornom kodu” stoji u Google objavi.
Gigant za pretragu je takođe potvrdio da podržava Intel u tome da TDX firmversku bazu izvornog koda učini javno dostupnom i proverljivom za izgradnju.
Intelova saradnja dolazi nedeljama nakon što je Google Project Zero prijavio 18 Zero-Day grešaka u Exynos modemima koje je napravio Samsung.
Izvor: Infosecurity Magazine