Intel漏洞餘波未平,美政府強懟谷歌和蘋果
E安全1月27日訊 美國眾議院能源和商業委員會 2018年1月24日致信美國幾家科技巨頭公司,就「Meltdown」(熔斷)和「Spectre 」(幽靈)漏洞的披露問題提出一系列問題。
「熔斷」和「幽靈」漏洞分別被谷歌的 Project Zero 等三個不同的研究團隊發現後,首先於2017年6月通知了主要廠商,漏洞披露最初的計劃時間為2018年1月9日。但是,某些專家了解到微軟和 Linux 開發人員一直在積極準備補丁,因此漏洞披露時間比原定計劃提前了6天,於2018年1月3日正式披露。
美國會議員想問啥?
美國會議員要求英特爾、AMD、ARM、蘋果、谷歌和微軟的首席執行官回答如何協調披露這些漏洞的一系列問題。
美國國會議員要求這些公司回答以下問題,並且要求這些公司2018年2月7日前做出回應:
為何封鎖信息?
誰提出將信息封鎖?
何時通知的美國計算機應急響應小組(US-CERT)和美國計算機應急響應小組協調中心(CERT/CC)?
信息封鎖對關鍵基礎設施和其它技術公司造成哪些影響?
實施信息封鎖使用的資源和最佳做法有哪些?
吸取了哪些教訓?
一批公司提前收到漏洞信息
谷歌最終決定將其概念驗證數據提供給小部分關鍵人群。研究人員首先通知了英特爾,讓其能搶先保護其處理器。英特爾緊急研發出新安全補丁,並將其分發給使用英特爾晶元的電腦製造商。亞馬遜、微軟和包括谷歌自己在內都在Project Zero研究的基礎上為自己的雲伺服器創建和發布補丁,這些伺服器供大型和小型企業使用。
在「熔斷」和「幽靈」攻擊方法在2018年1月3日正式公開後,在此之前接到通知的公司迅速推出了補丁,但 像Digital Ocean這樣的公司因此前未收到通知而猝不及防。
美國國會議員在這封信函中表示,雖然他們承認諸如此類的嚴重漏洞難以在披露與保密之間達到權衡,因為過早披露可能會讓惡意攻擊者在開發和部署緩解措施之前有機可乘。他們認為這種情況表明,對於多方協調的漏洞披露問題,有必要進行額外的審查。
美國國會議員還表示,隨著越來越多的產品和服務保持連接,沒有任何一家公司,甚至一個行業能孤立為產品及服務提供充分的保護。如今,有效的響應不僅需要企業之間廣泛合作,還需要傳統意義上相互孤立的行業之間進行合作。這一現實引發了嚴重的問題,不僅是「熔斷」和「幽靈」漏洞的信息封鎖問題,還涉及整體網路安全漏洞的信息封鎖問題。
雖然,許多公司已設法快速解決這些漏洞,但補丁被曝影響性能,並導致系統不穩定。軟體和微碼更新會給用戶帶來問題,系統製造商已決定停止BIOS更新,因為英特爾提供的補丁存在缺陷。
英特爾將推出新版晶元
就目前來說,英特爾晶元漏洞補救還是要靠軟體,但現在英特爾還沒有拿出完美的補丁。用戶在安裝英特爾此前發布的補丁後發現設備重啟頻率增加,英特爾只得建議用戶推遲安裝。
2018年1月26日英特爾表示會對處理器架構進行調整,永久避開Meltdown和Spectre漏洞,但新版晶元將在2018年年末才能上市。
註:本文由E安全編譯報道,轉載請註明原文地址
https://www.easyaq.com/news/1905518109.shtml
TAG:E安全 |