在美国政府之前,英特尔提前告知中国巨头企业关于CPU漏洞的信息

在告知美国政府之前,英特尔曾警告中国企业有关臭名昭著的Meltdown和Spectre处理器漏洞问题。
据华尔街日报报道,并引用了一些不知名的知情人士和一些相关公司的说法,包括联想和阿里巴巴在内的一些大客户,在美国政府和规模较小的云计算供应商之前,就已经了解到一些设计的缺陷。

这一披露时间表提出了一种可能性,即在美国政府和公众知晓英特尔CPU漏洞之前,中国政府的某些部门可能已经了解了这些信息。
在被其他安全研究团队独立发现并报告之前,谷歌Project Zero security团队的一名成员首先发现了Meltdown和Spectre芯片的缺陷。据《华尔街日报》报道:“英特尔原本计划于1月9日将这一发现公之于众……但在1月3日这一消息广为人知之后,它提前了时间。就在一天前,英国网站The Register报道了这些漏洞。”
英特尔和谷歌安全安全人员以及其他发现处理器缺陷的团队致力于解决这个漏洞,当然还有PC制造商尤其是大型的OEM厂商以及云计算公司,包括联想、微软、亚马逊和ARM。
华尔街日报没有提到何时向联想等公司发出通知,但一份泄露给电脑制造商的备忘录显示,11月29日,至少有一群尚未命名的oem厂商的问题已经通过一份保密协议进行,如之前报道的那样。1月3日,联想迅速推出了一项声明,向客户提供有关漏洞的建议,原因是该公司“在与行业处理器和操作系统合作伙伴的合作之前”完成了这项工作。
据一位知情人士透露,中国云服务的最大提供商阿里巴巴集团也提前收到通知。阿里巴巴的一位发言人向《华尔街日报》透露,该公司与中国政府分享威胁情报的言论是“纯属猜测和毫无根据的”。
联想表示,英特尔的信息受到保密协议的保护。

负责美国CERT的国土安全部的一名官员表示,他们只是从早期的新闻报道中了解到处理器的脆弱性。“我们当然希望得到通知,”他们补充说。
白宫网络安全高级官员Rob Joyce公开宣称,国家安全局也没有意识到所谓的Meltdown和Spectre的缺陷。
因为他们有早期预警,微软、谷歌和亚马逊在Meltdown 和 Spectre漏洞公开之前,就能够为他们的云计算客户推出保护措施。
这一点很重要,因为Meltdown——它允许恶意软件从英特尔的计算机内存中提取密码和其他秘密——很容易被利用,而云计算环境在允许客户共享服务器的情况下几乎完全暴露。有人在云盒上租了一台虚拟机,通过Meltdown设计的缺陷,可以窥探另一个人使用同一台主机服务器。
小型的云服务提供商则在玩“追赶”,三星电子旗下的美国云服务提供商Joyent,可能是受益于警告的企业之一,但在公开披露前未被包括在此前公布的名单中。

该公司首席技术官Bryan Cantrill告诉《华尔街日报》:“其他人有六个月领先的时间,我们依然在争抢。”他补充道,“我不明白为什么CERT不会是你的第一站。”
El Reg要求英特尔就其披露政策发表评论。在一份声明中,Chipzilla告诉我们,它不能告知所有那些计划提前进行预警的人,包括美国政府,因为在1月9日的声明之前,有关漏洞的消息已经爆发了:

Google Project Zero团队以及包括英特尔在内的一些厂商都遵循了负责任和可协调信息披露的最佳做法。标准和完善的初始信息披露实践是为了更好地与行业参与者一起开发解决方案,并在发布前部署修复程序。在这起事件中,有关这一漏洞的新闻报道是在行业联盟的公开披露日期之前公布的,当时英特尔立即与美国政府及其他机构进行了接触。
美国CERT是一个安全信息交换机构,该机构最初曾建议,只有在修改其位置之前,才可以通过更换未受影响的处理器来解决Spectre的缺陷,并建议应用供应商提供的补丁提供足够的缓解措施。

El Reg请求美国CERT公司在Meltdown和Spectre漏洞的情况下公布信息披露的过程,但还没有收到回复。

*来源TheRegister,FB小编Andy编译,转载请注明来自FreeBuf.COM

如有事情需要联系我们,请发送邮件到:lianxi@wmqn.net