英特爾對CPU漏洞的因應態度不夠積極,引起科技巨頭們的聯名指責。路透社今天報導,蘋果和Alphabet兩公司本周致函美國眾議員,狀告英特爾早在去年年中就已獲報Meltdown、Spectre三個漏洞,但卻沒有通報美國資安主管機關。
本信是兩大科技公司寫給眾議員能源與商務委員會主席Greg Walden,隨後由路透社取得,Walden曾在稍早質疑科技公司何時獲知漏洞消息。信中指出,Alphabet旗下Google的安全研究團隊Project Zero早在6月就已發現CPU中的三項漏洞,並分別通知英特爾、AMD及ARM三家晶片業者。
按照Project Zero的作業原則,它會給出現漏洞的業者90天寬限期,讓他們有時間修補漏洞。時間一到就會公開發表。至於是否通知主管機關,Google則留給廠商自行決定。
不過英特爾並未通報美國電腦緊急事件應變小組(United States, Computer Emergency Readiness, US-CERT),直到事件經媒體報導披露而爆發。事實上,Google已經將寬限期由90天大幅延長到1月3日,再到1月9日。
信中指出,英特爾之所以沒有通報政府,原因是「沒有跡象顯示這些漏洞已經遭惡意人士開採」。此外英特爾也未分析這些漏洞是否為危害重要基礎架構,因為該公司認為不會影響工控系統。但英特爾說他們仍通報了使用其晶片的科技業者。
英特爾、蘋果及Alphabet皆未對此回應媒體。
1月3日爆發的Meltdown、Spectre漏洞雖然還未傳出攻擊,但已讓所有IT業者,從晶片、作業系統、OEM、工控系統及雲端業者忙翻,趕忙修補CPU的漏洞。但因為CPU層的修補造成系統效能大幅降低、當掉、或重開機,致使廠商撤回第一波的更新程式,企業及個人用戶也不敢安裝。
事實上,英特爾受影響的產品不只有當初公佈的Broadwell及Haswell,而是幾乎所有主要系列。英特爾直到本月才逐步修補Skylake及Kaby Lake、Coffee Lake平臺的晶片釋出更新程式。
from iThome 新聞 http://ift.tt/2oriUlL
沒有留言:
張貼留言