在通知美國政府之前 英特爾先將晶元漏洞告知了聯想和阿里
摘要:提前從英特爾獲知晶元漏洞的企業中,包括聯想和阿里巴巴,而這些中國科技公司甚至比美國政府更早得知相關信息。直到1月3日英國網站The Register爆料,政府方面和公眾輿論才得以了解「晶元門」的影響規模和漏洞威脅。
*本文來自華爾街見聞(微信ID:wallstreetcn),編輯張一葦。更多精彩資訊請登陸wallstreetcn.com,或下載華爾街見聞APP。*
2018年1月3日,英國網站The Register對英特爾處理器晶元核心漏洞的爆料文,令輿論一片嘩然;但以英特爾為首的全球軟硬體廠商,以及微軟、谷歌、亞馬遜等雲服務巨頭於當天紛紛發布公告並推送補丁,迅速控制住了事態的發酵。
華爾街日報1月28日報道援引知情人士稱,其實英特爾和谷歌在去年6月共同發現漏洞後,就優先將信息提供給了包括聯想和阿里巴巴在內的一小批企業用戶,這些中國科技公司得知相關漏洞遠早於美國政府。
美國國土安全部 (DHS) 和國家安全局 (NSA) 的官員公開表示,直到漏洞披露才知曉相關情況;在這樣的大規模漏洞公之於眾前,國土安全部等美國政府部門往往需要更早得悉,以進行相關的善後安排,但此次卻一直蒙在鼓裡。
報道採訪的網路安全研究者稱,英特爾這一「區別對待」的決定令人擔憂,這些可以被利用的 「底層設計缺陷」(fundamental design flaw)很可能會經由中國科技公司流入中國政府之手;不過目前沒有證據表明任何信息遭到濫用。
見聞主編精選文章《英特爾「漏洞門」會重塑晶元業格局嗎?》提到,英國網站The Register的爆料文章稱,部分英特爾處理器存在高危漏洞,而惡意程序可以利用該漏洞訪問個人電腦的內存數據,包括用戶的隱私數據:
在最好的情況下,惡意軟體和黑客可以利用這一漏洞,更容易地攻破其他安全bug。
在最壞的情況下,這個漏洞可能會被程序和已登錄用戶濫用,以讀取內核內存的內容。而內核內存可能包含密碼、從磁碟緩存的文件等許多隱私信息。
據The Register,這次漏洞的影響範圍「覆蓋」了過去十年所有使用英特爾處理器的電腦,波及範圍如此之廣,以至於有人將這次的問題稱為「史詩級」bug。
聯想發言人稱,與英特爾相關來往受到雙方保密協議保護。阿里雲方面發言人未就英特爾何時告知漏洞置評,但表示任何阿里可能與中國政府分享相關信息的說法都是「毫無根據的臆測」。這兩家公司均在1月3日當天迅速推送了修復補丁,使其用戶未受到安全隱患的影響。
而美國國土安全部的反應相比之下則顯得相當被動。該機構的計算機緊急響應小組 (Computer Emergency Response Team, CERT) 網站上最早向行業公眾公示的警告指出,「完全消除」英特爾晶元安全漏洞的唯一方法,是摘除與更換目前所使用的晶元。
該公示現已修改為建議用戶對他們的系統進行補丁升級。
來源:
CERT
TAG:華爾街見聞 |