Observe que o Google Project Zero publicou uma postagem detalhada sobre as vulnerabilidades disponíveis antes da data de embargo. As vulnerabilidades são conhecidas como Spectre and Meltdown .
Esta é uma resposta geral, não específica para esta vulnerabilidade. Um embargo é na prática um acordo pessoal para manter em segredo os detalhes de uma vulnerabilidade, garantindo sua rastreabilidade (para que as pessoas apropriadas obtenham crédito) e sua resolução (envolvendo as pessoas necessárias para consertá-lo), para um acordo. por período de tempo.
Para o kernel especificamente, o processo de segurança é descrito aqui . Em particular, exige embargos muito curtos, da ordem de uma semana. Normalmente, porém, a resposta de segurança para grandes problemas será discutida em outros locais e pode levar mais tempo.
A situação contratual varia. Alguns desenvolvedores estarão sujeitos a cláusulas relevantes em seus contratos de trabalho (e contratos entre empresas, NDAs etc.); outros só serão obrigados por algum tipo de acordo verbal (ou e-mail ou qualquer outra coisa). O manuseio do embargo também varia de projeto para projeto e até mesmo incidente a incidente; Você esperaria que os termos de embargo fossem definidos e explicitados para todos os participantes, mas nem sempre é o caso. Geralmente, há uma lista mais ou menos formal de participantes de embargo (se apenas a lista de cc em vários emails) e regras sobre quem pode ser colocado (geralmente, o menor número possível de pessoas, mas às vezes isso ainda é muitas pessoas). Em última análise, os desenvolvedores são ligados à honra ou, talvez, mais precisamente ligados à reputação; bagunça um embargo e é menos provável que você esteja envolvido em futuros embargos (o que pode dificultar seu trabalho).
Eu duvido muito que exista um contrato formal entre todos os participantes neste embargo específico e a Intel, exceto para os funcionários da Intel, talvez (onde tais situações provavelmente são cobertas por seus contratos de trabalho de qualquer maneira).
Você encontrará informações relevantes em vários lugares, começando com lista de distros" Tratamento de informações embargadas "página .