2018年1月3日,英国网站the register对英特尔处理器芯片核心漏洞的爆料文,令舆论一片哗然;但以英特尔为首的全球软硬件厂商,以及微软、谷歌、亚马逊等云服务巨头于当天纷纷发布公告并推送补丁,迅速控制住了事态的发酵。
华尔街日报(博客,微博)1月28日报道援引知情人士称,其实英特尔和谷歌在去年6月共同发现漏洞后,就优先将信息提供给了包括联想和阿里巴巴在内的一小批企业用户,这些中国科技公司得知相关漏洞远早于美国政府。
美国国土安全部 (dhs) 和国家安全局 (nsa) 的官员公开表示,直到漏洞披露才知晓相关情况;在这样的大规模漏洞公之于众前,国土安全部等美国政府部门往往需要更早得悉,以进行相关的善后安排,但此次却一直蒙在鼓里。
报道采访的网络安全研究者称,英特尔这一“区别对待”的决定令人担忧,这些可以被利用的 “底层设计缺陷”(fundamental design flaw)很可能会经由中国科技公司流入中国政府之手;不过目前没有证据表明任何信息遭到滥用。
见闻主编精选文章《英特尔“漏洞门”会重塑芯片业格局吗?》提到,英国网站the register的爆料文章称,部分英特尔处理器存在高危漏洞,而恶意程序可以利用该漏洞访问个人电脑的内存数据,包括用户的隐私数据:
在最好的情况下,恶意软件和黑客可以利用这一漏洞,更容易地攻破其他安全bug。
在最坏的情况下,这个漏洞可能会被程序和已登录用户滥用,以读取内核内存的内容。而内核内存可能包含密码、从磁盘缓存的文件等许多隐私信息。
据the register,这次漏洞的影响范围“覆盖”了过去十年所有使用英特尔处理器的电脑,波及范围如此之广,以至于有人将这次的问题称为“史诗级”bug。
联想发言人称,与英特尔相关来往受到双方保密协议保护。阿里云方面发言人未就英特尔何时告知漏洞置评,但表示任何阿里可能与中国政府分享相关信息的说法都是“毫无根据的臆测”。这两家公司均在1月3日当天迅速推送了修复补丁,使其用户未受到安全隐患的影响。
而美国国土安全部的反应相比之下则显得相当被动。该机构的计算机紧急响应小组 (computer emergency response team, cert) 网站上最早向行业公众公示的警告指出,“完全消除”英特尔芯片安全漏洞的唯一方法,是摘除与更换目前所使用的芯片。
该公示现已修改为建议用户对他们的系统进行补丁升级。
来源:cert
