在通知美國政府之前 英特爾先將晶片漏洞告知了聯想和阿里
鉅亨網新聞中心 2018-01-29 18:01
摘要:提前從英特爾獲知晶片漏洞的企業中,包括聯想和阿里巴巴,而這些中國科技公司甚至比美國政府更早得知相關資訊。直到 1 月 3 日英國網站 The Register 爆料,政府方面和公眾輿論才得以了解「晶片門」的影響規模和漏洞威脅。
2018 年 1 月 3 日,英國網站 The Register 對英特爾處理器晶片核心漏洞的爆料文,令輿論一片譁然;但以英特爾為首的全球軟硬體廠商,以及微軟、谷歌、亞馬遜等雲服務巨頭於當天紛紛發布公告並推送補丁,迅速控制住了事態的發酵。
華爾街日報 1 月 28 日報導援引知情人士稱,其實英特爾和谷歌在去年 6 月共同發現漏洞後,就優先將資訊提供給了包括聯想和阿里巴巴在內的一小批企業用戶,這些中國科技公司得知相關漏洞遠早於美國政府。
美國國土安全部 (DHS) 和國家安全局 (NSA) 的官員公開表示,直到漏洞披露才知曉相關情況;在這樣的大規模漏洞公之於眾前,國土安全部等美國政府部門往往需要更早得悉,以進行相關的善後安排,但此次卻一直蒙在鼓裡。
報導採訪的網路安全研究者稱,英特爾這一「差別對待」的決定令人擔憂,這些可以被利用的 「底層設計缺陷」(fundamental design flaw)很可能會經由中國科技公司流入中國政府之手;不過目前沒有證據表明任何資訊遭到濫用。
英國網站 The Register 的爆料文章稱,部分英特爾處理器存在高危漏洞,而惡意程序可以利用該漏洞訪問個人電腦的內存數據,包括用戶的隱私數據:
在最好的情況下,惡意軟體和駭客可以利用這一漏洞,更容易地攻破其他安全 bug。
在最壞的情況下,這個漏洞可能會被程序和已登錄用戶濫用,以讀取內核內存的內容。而內核內存可能包含密碼、從磁盤緩存的文件等許多隱私資訊。
據 The Register,這次漏洞的影響範圍「覆蓋」了過去十年所有使用英特爾處理器的電腦,波及範圍如此之廣,以至於有人將這次的問題稱為「史詩級」bug。
聯想發言人稱,與英特爾相關來往受到雙方保密協議保護。阿里雲方面發言人未就英特爾何時告知漏洞置評,但表示任何阿里可能與中國政府分享相關資訊的說法都是「毫無根據的臆測」。這兩家公司均在 1 月 3 日當天迅速推送了修復補丁,使其用戶未受到安全隱患的影響。
而美國國土安全部的反應相比之下則顯得相當被動。該機構的計算機緊急響應小組 (Computer Emergency Response Team, CERT) 網站上最早向行業公眾公示的警告指出,「完全消除」英特爾晶片安全漏洞的唯一方法,是摘除與更換目前所使用的晶片。
該公示現已修改為建議用戶對他們的系統進行補丁升級。
來源:CERT
『新聞來源/華爾街見聞』
- 不論是30歲還是70歲 都值得嘗試做一次
- 掌握全球財經資訊點我下載APP
上一篇
下一篇