传英特尔对 Meltdown、Spectre 漏洞知情不报数个月

释放双眼,带上耳机,听听看~!

文章转载开源中国

苹果和 Alphabet 两公司本周致函美国众议员,状告英特尔早在去年年中就已获知 Meltdown、Spectre 三个漏洞,但却没有通报美国资安主管机关。

传英特尔对 Meltdown、Spectre 漏洞知情不报数个月

英特尔对CPU漏洞的应有态度不够积极,引起科技巨头们的联名指责。路透社今天报导,苹果和Alphabet两公司本周致函美国众议员,状告英特尔早在去年年中就已获知Meltdown、Spectre三个漏洞,但却没有通报美国资安主管机关。

本信是两大科技公司写给众议员能源与商务委员会主席Greg Walden,随后由路透社取得,Walden曾在稍早质疑科技公司何时获知漏洞消息。信中指出,Alphabet旗下Google的安全研究团队Project Zero早在6月就已发现CPU中的三项漏洞,并分别通知英特尔、AMD及ARM三家芯片公司。

按照Project Zero的原则,它会给出现漏洞的公司90天宽限期,让他们有时间修补漏洞。时间一到就会公开发表。至于是否通知主管机关,Google则留给厂商自行决定。

不过英特尔并未通报美国电脑紧急事件应变小组(United States, Computer Emergency Readiness, US-CERT),直到事件经媒体报导而揭露。事实上,Google已经将宽限期由90天大幅延长到1月3日,再到1月9日。

信中指出,英特尔之所以没有通报政府,原因是没有迹象显示这些漏洞已经遭恶意人士开采。此外英特尔也未分析这些漏洞是否会危害重要基础架构,因为该公司认为不会影响操作系统。但英特尔说他们仍通报了使用其芯片的科技厂商。

英特尔、苹果及Alphabet皆未对此回应媒体。

1月3日爆发的Meltdown、Spectre漏洞虽然还未传出攻击,但已让所有IT从业者,从芯片、操作系统、OEM及云端从业者忙翻,赶忙修补CPU的漏洞。但因为CPU层的修补造成系统性能大幅降低、或导致重开机,致使厂商撤回第一波的更新程序,企业及个人用户也不敢安装。

事实上,英特尔受影响的产品不只有当初公布的Broadwell及Haswell,而是几乎所有主要系列。英特尔直到本月才逐步修补Skylake及Kaby Lake、Coffee Lake平台的芯片发布出更新程序。

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

主流 CPU 的漏洞终于修复,英特尔更新几代芯片

2018-2-23 11:12:22

安全漏洞

Spectre 新的变种漏洞再次危及英特尔 SGX 安全区

2018-3-6 11:12:22

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索