作者: pocheng
2018-02-24 08:59:06
来源:oschina
苹果和 Alphabet 两公司本周致函美国众议员,状告英特尔早在去年年中就已获知 Meltdown、Spectre 三个漏洞,但却没有通报美国资安主管机关。
英特尔对CPU漏洞的应有态度不够积极,引起科技巨头们的联名指责。路透社今天报导,苹果和Alphabet两公司本周致函美国众议员,状告英特尔早在去年年中就已获知Meltdown、Spectre三个漏洞,但却没有通报美国资安主管机关。
本信是两大科技公司写给众议员能源与商务委员会主席Greg Walden,随后由路透社取得,Walden曾在稍早质疑科技公司何时获知漏洞消息。信中指出,Alphabet旗下Google的安全研究团队Project Zero早在6月就已发现CPU中的三项漏洞,并分别通知英特尔、AMD及ARM三家芯片公司。
按照Project Zero的原则,它会给出现漏洞的公司90天宽限期,让他们有时间修补漏洞。时间一到就会公开发表。至于是否通知主管机关,Google则留给厂商自行决定。
不过英特尔并未通报美国电脑紧急事件应变小组(United States, Computer Emergency Readiness, US-CERT),直到事件经媒体报导而揭露。事实上,Google已经将宽限期由90天大幅延长到1月3日,再到1月9日。
信中指出,英特尔之所以没有通报政府,原因是没有迹象显示这些漏洞已经遭恶意人士开采。此外英特尔也未分析这些漏洞是否会危害重要基础架构,因为该公司认为不会影响操作系统。但英特尔说他们仍通报了使用其芯片的科技厂商。
英特尔、苹果及Alphabet皆未对此回应媒体。
1月3日爆发的Meltdown、Spectre漏洞虽然还未传出攻击,但已让所有IT从业者,从芯片、操作系统、OEM及云端从业者忙翻,赶忙修补CPU的漏洞。但因为CPU层的修补造成系统性能大幅降低、或导致重开机,致使厂商撤回第一波的更新程序,企业及个人用户也不敢安装。
事实上,英特尔受影响的产品不只有当初公布的Broadwell及Haswell,而是几乎所有主要系列。英特尔直到本月才逐步修补Skylake及Kaby Lake、Coffee Lake平台的芯片发布出更新程序。