外媒 2 月 23 日消息,英特尔以及其他六家公司(亚马逊、AMD、苹果、ARM、谷歌、微软)向美国国会发送的信件揭示了他们为何不向世界其他国家披露其芯片设计缺陷。根据之前的报道,这些芯片广泛受到 Meltdown (熔毁)和 Spectre (幽灵)漏洞的影响。
美国众议院能源和商业委员会的共和党成员曾在一月份致函这七家公司,以寻求他们不披露这些缺陷的原因以及他们是否认为自己的行为是安全和负责任的。此外,由于这些芯片设计缺陷影响非常严重,以至于美国国会议员坚持要求这七家公司给出合理的解释。
目前来看,英特尔给出的信件似乎是最具信息量的,因为它揭示了在漏洞披露之前,英特尔只向可以帮助其提高技术用户安全性的公司透露有关 Spectre 和 Meltdown 的信息,发现漏洞的 Project Zero 方面也将其 90 天的漏洞公开截止日期延长至 2018 年 1 月以协助漏洞修复。一旦漏洞消息被传出,英特尔就会加快部署缓解措施的计划,并及时向各国政府进行通报 。 英特尔称其是在考虑了“ CERT 协调漏洞披露指南 ”、“ 常见漏洞和暴露(CVE)编号权限规则 ”、“ 事件响应安全团队常见漏洞评分系统论坛 ” 之后制定了这一应急方案。然而因 The Register 等博客的提前曝光使英特尔原定计划被打乱。
此外,该信还显示:“ 今年晚些时候,英特尔将在其产品中引入新的硬件设计更改,以解决诸如 Spectre 和 Meltdown 等漏洞。
不过其他公司的信件大多指出 Spectre 和 Meltdown 是英特尔的问题。
例如,微软公司表示虽然知道漏洞的修复程序会破坏一些反病毒软件,并也提前警告这些产品的供应商,但是不能告诉他们为什么会因为担心 Meltdown 和 Specter 的消息泄漏而进行修改。
而 ARM 公司则称在 Meltdown 和 Specter之前, ARM 并没有参与多方协调的漏洞披露。
亚马逊方面表示他们将集中精力在为 Linux 操作系统和 Xen 管理程序开发对策。
消息来源:TheRegister,编译:榆榆,校审:FOX;
本文由 HackerNews.cc 编译整理,封面来源于网络;
转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
请登录后发表评论
注册