Intel a déclaré que ses processeurs faisaient face à 16 vulnérabilités signalées en 2021, ce qui signifie qu’il a moins de failles nouvellement découvertes que les processeurs d’AMD, qui ont fait face à 31 failles. Cependant, Intel a certes été en tête du nombre de défauts sur les graphiques et du nombre total de défauts. Fait intéressant, près de la moitié des nouvelles vulnérabilités du GPU d’Intel proviennent d’un composant graphique AMD utilisé par Intel dans ses propres puces.
Les chiffres proviennent du nouveau rapport sur la sécurité des produits 2021 d’Intel, qui fournit des statistiques non seulement sur le nombre de vulnérabilités, mais également sur la manière dont les rapports Common Vulnerabilities and Exposure (CVE) sont classés et fournit des informations sur le programme de primes de bogues d’Intel.
Intel affirme que ses processeurs ont fait face à 16 failles de sécurité en 2021, dont six ont été détectées par des chercheurs dans le cadre de son programme de primes de bogues et les dix autres ont été trouvées au sein de l’entreprise. (Le graphique ne montrait à l’origine que dix vulnérabilités du processeur, qui ne correspondaient pas au texte du document, mais Intel l’a corrigé après avoir informé la société de l’écart.) Sur les graphiques, Intel a trouvé 15 bogues en interne, tandis que 36 ont été trouvés via le initiative de prime.
Il est difficile de les faire correspondre exactement, car dans la plupart des cas, les GPU d’Intel sont intégrés dans ses processeurs. À l’exception d’Intel Xe DG1, Intel est encore en grande partie dans les graphiques intégrés, qui sont intégrés dans le processeur.
Mais avant qu’AMD puisse être couronné vainqueur de la sécurité GPU, Intel note que le CVE INTEL-SA-00481 pour les processeurs Intel Core avec graphiques Radeon RX Vega M présente 23 vulnérabilités pour les composants d’AMD. Ceux-ci semblent être destinés aux processeurs Kaby Lake-G d’Intel, qui associaient des processeurs Intel Core de 8e génération aux graphiques Radeon d’AMD et sont apparus dans des ordinateurs portables comme le Dell XPS 15 2-en-1 ainsi que le NUC « Hades Canyon ». Ainsi, alors que ceux-ci tombent du côté d’Intel parce qu’ils étaient sur la puce d’Intel, les vulnérabilités étaient du côté d’AMD de la technologie.
Pour plus d’informations sur les données d’AMD, Intel est allé exclusivement à la recherche externe, allant de mai à décembre 2021. Il affirme n’avoir trouvé aucun CVE attribué à la recherche interne d’AMD en 2021.
AMD n’a pas répondu à une demande de commentaire à temps pour la publication. Cependant, nous mettrons à jour cette histoire si nous entendons quelque chose.
Notamment, les unités de traitement graphique avaient le plus grand nombre de CVE pour Intel en 2021. Les vulnérabilités Ethernet et logicielles étaient à égalité pour la deuxième plaque avec 34 vulnérabilités chacune.
Intel affirme que ses propres recherches sur la sécurité ont trouvé 50 % des vulnérabilités, tandis que le programme de primes aux bogues en a détecté 43 % supplémentaires. Les 7% restants proviennent de projets open source ou d’organisations qui ne peuvent pas participer au projet Bounty.
Hier, Intel a annoncé sa dernière initiative de sécurité, Project Circuit Breaker, qui prolonge le programme de primes en invitant des chercheurs à des événements de piratage et en donnant accès à de nouveaux micrologiciels, chipsets, GPU, etc.
Le rapport complet comprend beaucoup plus d’informations, y compris quels chercheurs ont reçu les primes les plus élevées (la plupart sont anonymes ou pseudonymes), et fournit plus de ventilations sur les vulnérabilités trouvées au sein d’Intel par opposition à l’extérieur.
Notamment, Intel a fourni une ventilation décrivant la gravité des vulnérabilités nouvellement découvertes qui affectent ses produits, mais n’a pas partagé le même type de ventilation pour les produits AMD. De plus, la liste des vulnérabilités n’inclut que celles découvertes pour les deux sociétés en 2021 et n’inclut pas la comptabilité complète des dernières années.