多家美國科技公司：英特爾未主動向政府報備晶元漏洞

新浪科技訊 北京時間2月23日早間消息，本周四，美國幾家科技公司發給國會議員的信件顯示，在Alphabet公司提示人們注意晶元問題幾個月後，晶元製造商英特爾公司才通知美國網路安全官員，其所生產晶元產品存在「崩潰」（Meltdown）和「幽靈」（Spectre）等安全漏洞。

這些漏洞可能導致國家安全隱患，政府卻未能在這些漏洞公之於眾之前被告知，現任和前任美國政府官員都對此表示擔心。英特爾方面稱，由於黑客沒有利用漏洞造成危害，該公司認為沒有必要提前向美國當局報備這些問題。

直到今年1月3日，英特爾才通知美國電腦急救準備小組（US-CERT），CPU晶元存在漏洞，而此前，關於這些漏洞的報道已在在線技術網站The Register流傳開來。

US-CERT的職責是向公共和私營部門發布網路安全問題警告，該機構未對置評請求作出回應。

星期四，英特爾、Alphabet和蘋果公司發出的信件詳細說明了晶元缺陷被披露的時間細節，以回應眾議院能源和商務委員會主席、俄勒岡州共和黨人格雷格·沃爾登（Greg Walden）的提問。這些信件被路透社獲取。

Alphabet表示，去年6月，谷歌Project Zero團隊的安全研究人員曾將晶元存在漏洞一事告知晶元製造商英特爾公司、高級微設備公司和軟銀集團下屬的ARM控股公司。

Alphabet要求晶元製造商在90天內解決問題，否則將對外公開，這種做法符合網路安全行業標準，目的是在一定時間內填補漏洞，以免被黑客利用。

Alphabet表示，應該由晶元製造商決定是否將安全缺陷告知政府官員，這也是一種常規做法。

信件披露，英特爾表示，之所以沒有通知政府官員，是因為沒有「任何跡象表明，這些漏洞已被惡意行為者所利用。」

英特爾還表示，沒有對這些缺陷是否可能危害關鍵基礎設施進行分析，因為該公司認為這種缺陷不會影響工業控制系統。但英特爾說，確實已向其他使用其晶元的技術公司提供了信息。

英特爾、Alphabet和蘋果公司沒有立即置評。

AMD、ARM、微軟和亞馬遜公司也對議員們的提問做出了回應。

微軟表示，在公開披露之前，已向幾個殺毒軟體製造商通報了這些缺陷，以便讓後者有時間避免兼容性問題。AMD公司說，Alphabet將披露期限由標準的90天延長了兩次，第一次是1月3日，第二次是1月9日。（斯眉）

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！