A Intel anunciou, na última semana, a publicação do seu Relatório de Segurança de Produto de 2023, expondo a correção de 353 vulnerabilidades ao longo do ano anterior.
Contrariando a prática do ano antecedente, quando revelou ter desembolsado quase US$ 1 milhão em recompensas por bugs, desta vez, não mencionou valores destinados a recompensas por vulnerabilidades identificadas.
É de conhecimento comum que todo código de certa complexidade possui bugs e vulnerabilidades inevitáveis.
Uma política de priorizar a segurança, juntamente com um investimento compatível com o tamanho do mercado conquistado, tornam-se imprescindíveis, considerando que os clientes depositam sua confiança na capacidade de resposta da empresa frente às falhas detectadas.
Assim, surpreende a ausência de menção a um programa de bug bounty no documento divulgado.
Talvez antevendo possíveis críticas, Pat Gelsinger, CEO da Intel, numa postagem de setembro de 2023 no blog oficial da empresa, convidou os leitores a apontarem "um fornecedor de silício que adote tantas iniciativas e dedique tanto investimento quanto nós para fornecer produtos seguros e robustos aos desenvolvedores e clientes".
A Intel enfatiza o investimento contínuo em garantia proativa da segurança dos seus produtos, o que inclui táticas para identificar vulnerabilidades internamente e também via engajamento com a comunidade externa de pesquisa em segurança, através de programas de recompensa por bugs.
Em 2023, a empresa assegura que os investimentos proativos em segurança de produtos computaram 94% das vulnerabilidades divulgadas publicamente.
O incremento de 208% em vulnerabilidades de software em relação a 2022 é creditado ao fortalecimento do programa de bug bounty e à maior participação dos pesquisadores de segurança.
Destas 353 vulnerabilidades corrigidas, 256 estavam situadas em aplicativos, drivers, toolkits, software development kits (SDKs) e utilitários.
Por outro lado, a Intel sinalizou uma diminuição de 38% nas vulnerabilidades de firmware comparado ao ano de 2022, totalizando 87 falhas identificadas em firmware, abrangendo firmware de plataforma, componentes sem fio e FPGA (Field Programmable Gate Array), Intel NUC, SSDs (solid-state drives), placas para servidores, entre outros produtos.
A empresa também realizou uma comparação das vulnerabilidades identificadas nos produtos da AMD, marcando a primeira vez que tal análise tornou-se possível devido ao início da divulgação, pela AMD, das vulnerabilidades encontradas internamente em maio de 2022.
Segundo as informações, todos os tipos de vulnerabilidades identificados foram classificados seguindo os Common Vulnerability Scoring System (CVSS) versão 3.1, com cada CVE publicado contendo um link para a calculadora CVSS 3.1, facilitando assim que os clientes realizem suas próprias avaliações de ameaça.
Verificações no site da AMD não confirmaram qual versão do sistema de pontuação CVSS é empregada pela empresa, e foi observado que a AMD não fornece de maneira consistente as pontuações numéricas do CVSS em seus comunicados.
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...