在通知美國政府之前 英特爾先將晶片漏洞告知了聯想和阿里

摘要：提前從英特爾獲知晶片漏洞的企業中，包括聯想和阿里巴巴，而這些中國科技公司甚至比美國政府更早得知相關資訊。直到 1 月 3 日英國網站 The Register 爆料，政府方面和公眾輿論才得以了解「晶片門」的影響規模和漏洞威脅。

2018 年 1 月 3 日，英國網站 The Register 對英特爾處理器晶片核心漏洞的爆料文，令輿論一片譁然；但以英特爾為首的全球軟硬體廠商，以及微軟、谷歌、亞馬遜等雲服務巨頭於當天紛紛發布公告並推送補丁，迅速控制住了事態的發酵。

華爾街日報 1 月 28 日報導援引知情人士稱，其實英特爾和谷歌在去年 6 月共同發現漏洞後，就優先將資訊提供給了包括聯想和阿里巴巴在內的一小批企業用戶，這些中國科技公司得知相關漏洞遠早於美國政府。

美國國土安全部 (DHS) 和國家安全局 (NSA) 的官員公開表示，直到漏洞披露才知曉相關情況；在這樣的大規模漏洞公之於眾前，國土安全部等美國政府部門往往需要更早得悉，以進行相關的善後安排，但此次卻一直蒙在鼓裡。

報導採訪的網路安全研究者稱，英特爾這一「差別對待」的決定令人擔憂，這些可以被利用的 「底層設計缺陷」（fundamental design flaw）很可能會經由中國科技公司流入中國政府之手；不過目前沒有證據表明任何資訊遭到濫用。

英國網站 The Register 的爆料文章稱，部分英特爾處理器存在高危漏洞，而惡意程序可以利用該漏洞訪問個人電腦的內存數據，包括用戶的隱私數據：

在最好的情況下，惡意軟體和駭客可以利用這一漏洞，更容易地攻破其他安全 bug。

在最壞的情況下，這個漏洞可能會被程序和已登錄用戶濫用，以讀取內核內存的內容。而內核內存可能包含密碼、從磁盤緩存的文件等許多隱私資訊。

據 The Register，這次漏洞的影響範圍「覆蓋」了過去十年所有使用英特爾處理器的電腦，波及範圍如此之廣，以至於有人將這次的問題稱為「史詩級」bug。

聯想發言人稱，與英特爾相關來往受到雙方保密協議保護。阿里雲方面發言人未就英特爾何時告知漏洞置評，但表示任何阿里可能與中國政府分享相關資訊的說法都是「毫無根據的臆測」。這兩家公司均在 1 月 3 日當天迅速推送了修復補丁，使其用戶未受到安全隱患的影響。

而美國國土安全部的反應相比之下則顯得相當被動。該機構的計算機緊急響應小組 (Computer Emergency Response Team, CERT) 網站上最早向行業公眾公示的警告指出，「完全消除」英特爾晶片安全漏洞的唯一方法，是摘除與更換目前所使用的晶片。

該公示現已修改為建議用戶對他們的系統進行補丁升級。

來源：CERT

『新聞來源／華爾街見聞』