中国云服务商竟然比美国政府更早收到英特尔的CPU漏洞警报

作者:星期四, 二月 1, 20180
分享:

我们当然希望得到通知。

——美国国土安全局(DHS)

英特尔在通告美国政府之前就先向中国公司通知了“熔断”和“幽灵”处理器漏洞。《华尔街日报》援引内幕人士报道称,英特尔的部分大客户(包括联想和阿里巴巴)比美国政府和小型云计算供应商更早获悉该设计缺陷。

漏洞公开时间线反映出英特尔是先通知的中国政府,然后再通告美国政府和公众。

谷歌零日计划安全团队最先发现了熔断和幽灵芯片漏洞,之后不久,这两个漏洞被其他安全团队发现并上报。《华尔街日报》报道:“英特尔曾计划在1月9日披露该漏洞。但由于英国网站 The Register 在1月2日就报道了漏洞相关信息,英特尔不得不将其漏洞披露时间提前到1月3日。”

英特尔与谷歌安全研究员和发现该处理器漏洞的其他安全团队一起解决漏洞修复问题,同时参与修复事宜的还有PC制造商和云计算公司,尤其是几家大型原始设备制造商(OEM),包括联想、微软、亚马逊和ARM。

《华尔街日报》没有提及联想收到漏洞通报的时间,但英特尔泄露的一份给计算机制造商的备忘显示,早在11月29日,有关该问题的通告就以保密协议的方式发给了一些OEM厂商。

因为早已知悉漏洞并针对处理器和操作系统做出了相应处理,1月3日英特尔刚一披露漏洞,联想便迅速推出了一项声明,向客户提供了有关这些漏洞的建议。

推测

据熟悉阿里巴巴集团的一位人士所言,该中国云服务顶级提供商同样提前得知了该漏洞信息。但阿里巴巴发言人回应《华尔街日报》称,该公司可能与中国政府共享威胁情报的言论“纯属猜测,毫无根据”。联想表示,有关英特尔方面的消息受保密协议限制不能透露。

前NSA雇员,安全公司 Rendition Infosec 总裁杰克·威廉姆森认为,基本可以确定中国政府知道英特尔与其中国科技合作伙伴之间的信息往来,因为当局经常监控所有此类通信。

管辖美国计算机应急响应小组(US CERT)的国土安全部(DHS)一名官员称,他们也是从新闻报道中才得知出现了处理器设计漏洞,并表示“我们当然希望得到通知。”

白宫网络安全高级官员罗博·乔伊斯公开宣称,NSA同样对熔断和幽灵漏洞一无所觉。

微软、谷歌和亚马逊都是因为得到了提前示警,才得以在熔断和幽灵漏洞细节披露之前就向其云计算客户推出防护措施。因为熔断漏洞可致恶意软件从英特尔机器内存中抽取口令和其他机密信息,而且非常容易被利用,再加上云计算环境往往允许客户共享服务器,能否及时部署针对该漏洞的防护措施就显得尤其重要。如果没有及时打上补丁,攻击者就可窥探到同一台云端主机服务器上其他用户的秘密。

小型云服务提供商则只能努力跟上漏洞披露的节奏。他们也能从英特尔的示警中受益,但显然没有那些提前获悉漏洞的大型厂商有优势。

其中一家隶属三星旗下的美国小型云服务提供商Joyent表示,“别人有充足的时间准备,我们却只能仓促上阵,真是搞不明白为什么不先通知CERT。”

针对披露策略,英特尔Chipzilla芯片实验室在一份声明中称,因为媒体早于其原计划的1月9日即曝光了漏洞,该公司来不及通知所有其欲提前报备的对象——包括美国政府。

声明原文摘录如下:

谷歌零日计划团队和受影响的厂商,包括英特尔,都遵循了负责任披露和协同披露的最佳实践。漏洞披露行之有效的标准做法,就是先向行业参与者披露,以便开发解决方案并在漏洞公开之前部署修复补丁。而本次事件中,在行业联盟预定公开的日期之前,媒体就公布了漏洞信息,但英特尔也随即立即通告了美国政府和其他厂商。

US CERT表现得像是安全清算所。该机构最开始建议说,只有更换受影响芯片才能解决幽灵漏洞,后来又改换立场,建议称打上厂商提供的补丁就可以了。

分享:

相关文章

写一条评论

 

 

0条评论