Nieuws
image

Mitre lanceert nieuwe CWE-lijst met hardwarelekken

vrijdag 28 februari 2020, 16:20 door Redactie, 4 reacties

De Mitre Corporation, verantwoordelijk voor het Common Vulnerabilities and Exposures (CVE)-systeem en de Common Weakness Enumeration (CWE)-lijst waarmee kwetsbaarheden worden gecategoriseerd, heeft een nieuwe CWE-lijst gelanceerd die nu ook hardwarelekken bevat.

Vorige versies van de CWE-lijst beschreven alleen softwarelekken. Met de CWE 4.0 zijn ook hardwarelekken op de lijst te vinden. Het gaat dan om zaken als "halfgeleiderfouten", verkeerd geconfigureerde cpu-hardware, geheugen- en opslagproblemen, toegankelijke debug-interfaces, hardwareontwerp en I/O-problemen. Volgens MITRE kunnen hardwareontwerpers via de nieuwe categorieën beter veelgemaakte fouten in hun ontwerp begrijpen en voorkomen.

Verder introduceert CWE 4.0 een vereenvoudigde weergave van kwetsbaarheden en biedt een zoekfunctie om eenvoudiger door de informatie te navigeren.

Image

Reacties (4)
28-02-2020, 17:45 door Anoniem
Grappig dat daar nu pas systematisch aandacht aan gegeven wordt. Want ja, developers gaan er meestal vanuit dat de hardware perfect is danwel dat alle problemen die het waard zijn op te lossen wel in software bijgewerkt kunnen worden. Nouja, niet altijd dus. Tegelijkertijd was het natuurlijk wel altijd al zo dat chipbakkers weten dat er na het bakken nog maar weinig op te lappen valt dus doen ze binnenshuis al het een en ander. Totdat intel willens en wetens domme dingen ging doen in naam van snelheid, en dat ondertussen al (ruim) meer dan tien jaar lang.
29-02-2020, 14:31 door Anoniem
Door Anoniem: Grappig dat daar nu pas systematisch aandacht aan gegeven wordt. Want ja, developers gaan er meestal vanuit dat de hardware perfect is danwel dat alle problemen die het waard zijn op te lossen wel in software bijgewerkt kunnen worden.
Ik denk dat een goede ontwikkelaar er over het algemeen goed van doordrongen zal zijn dat de beste plek om een probleem op te lossen de plek is waar het optreedt, en niet heel ergens anders. Een ontwikkelaar zal dus vinden dat een probleem in hardware bij voorkeur in de hardware zelf of in de firmware voor die hardware opgelost dient te worden. Er in software omheen werken kan nodig zijn, maar dat is dan bij gebrek aan de juiste oplossing, niet omdat dat daar thuishoort. Dat is iets wezenlijk anders dan denken dat hardware perfect is of dat hardwareproblemen het niet waard zijn om op te lossen.
29-02-2020, 17:10 door Anoniem
Door Anoniem:
Door Anoniem: Grappig dat daar nu pas systematisch aandacht aan gegeven wordt. Want ja, developers gaan er meestal vanuit dat de hardware perfect is danwel dat alle problemen die het waard zijn op te lossen wel in software bijgewerkt kunnen worden.
Ik denk dat een goede ontwikkelaar er over het algemeen goed van doordrongen zal zijn dat de beste plek om een probleem op te lossen de plek is waar het optreedt, en niet heel ergens anders. Een ontwikkelaar zal dus vinden dat een probleem in hardware bij voorkeur in de hardware zelf of in de firmware voor die hardware opgelost dient te worden. Er in software omheen werken kan nodig zijn, maar dat is dan bij gebrek aan de juiste oplossing, niet omdat dat daar thuishoort. Dat is iets wezenlijk anders dan denken dat hardware perfect is of dat hardwareproblemen het niet waard zijn om op te lossen.
Dat wordt weersproken door de houding van "we lossen het wel in software op" die je toch regelmatig tegenkomt.
02-03-2020, 10:51 door Anoniem
Door Anoniem: Grappig dat daar nu pas systematisch aandacht aan gegeven wordt. Want ja, developers gaan er meestal vanuit dat de hardware perfect is danwel dat alle problemen die het waard zijn op te lossen wel in software bijgewerkt kunnen worden. Nouja, niet altijd dus. Tegelijkertijd was het natuurlijk wel altijd al zo dat chipbakkers weten dat er na het bakken nog maar weinig op te lappen valt dus doen ze binnenshuis al het een en ander. Totdat intel willens en wetens domme dingen ging doen in naam van snelheid, en dat ondertussen al (ruim) meer dan tien jaar lang.

Met microcode valt nog wel een hoop te doen, al lijkt het erop dat Microsoft op meer heeft gespeculeerd dan alleen de execution om toch maar die snelheidswinst te behalen. Desalniettemin is het natuurlijk vreemd dat hier nu pas aandacht voor ontstaat, terwijl het clean source principle allang bestaat en begrepen wordt. Zonder een schoon en degelijk fundament is alles daarboven zinloos.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure