Intel漏洞余波未平,美政府强怼谷歌和苹果
更多全球网络安全资讯尽在E安全官网www.easyaq.com
E安全1月27日讯 美国众议院能源和商业委员会 2018年1月24日致信美国几家科技巨头公司,就“Meltdown”(熔断)和“Spectre ”(幽灵)漏洞的披露问题提出一系列问题。
“熔断”和“幽灵”漏洞分别被谷歌的 Project Zero 等三个不同的研究团队发现后,首先于2017年6月通知了主要厂商,漏洞披露最初的计划时间为2018年1月9日。但是,某些专家了解到微软和 Linux 开发人员一直在积极准备补丁,因此漏洞披露时间比原定计划提前了6天,于2018年1月3日正式披露。
美国会议员想问啥?
美国会议员想问啥?
美国会议员要求英特尔、AMD、ARM、苹果、谷歌和微软的首席执行官回答如何协调披露这些漏洞的一系列问题。
美国国会议员要求这些公司回答以下问题,并且要求这些公司2018年2月7日前做出回应:
为何封锁信息?
谁提出将信息封锁?
何时通知的美国计算机应急响应小组(US-CERT)和美国计算机应急响应小组协调中心(CERT/CC)?
信息封锁对关键基础设施和其它技术公司造成哪些影响?
实施信息封锁使用的资源和最佳做法有哪些?
吸取了哪些教训?
一批公司提前收到漏洞信息
一批公司提前收到漏洞信息
谷歌最终决定将其概念验证数据提供给小部分关键人群。研究人员首先通知了英特尔,让其能抢先保护其处理器。英特尔紧急研发出新安全补丁,并将其分发给使用英特尔芯片的电脑制造商。亚马逊、微软和包括谷歌自己在内都在Project Zero研究的基础上为自己的云服务器创建和发布补丁,这些服务器供大型和小型企业使用。
在“熔断”和“幽灵”攻击方法在2018年1月3日正式公开后,在此之前接到通知的公司迅速推出了补丁,但 像Digital Ocean这样的公司因此前未收到通知而猝不及防。
美国国会议员在这封信函中表示,虽然他们承认诸如此类的严重漏洞难以在披露与保密之间达到权衡,因为过早披露可能会让恶意攻击者在开发和部署缓解措施之前有机可乘。他们认为这种情况表明,对于多方协调的漏洞披露问题,有必要进行额外的审查。
美国国会议员还表示,随着越来越多的产品和服务保持连接,没有任何一家公司,甚至一个行业能孤立为产品及服务提供充分的保护。如今,有效的响应不仅需要企业之间广泛合作,还需要传统意义上相互孤立的行业之间进行合作。这一现实引发了严重的问题,不仅是“熔断”和“幽灵”漏洞的信息封锁问题,还涉及整体网络安全漏洞的信息封锁问题。
虽然,许多公司已设法快速解决这些漏洞,但补丁被曝影响性能,并导致系统不稳定。软件和微码更新会给用户带来问题,系统制造商已决定停止BIOS更新,因为英特尔提供的补丁存在缺陷。
英特尔将推出新版芯片
英特尔将推出新版芯片
就目前来说,英特尔芯片漏洞补救还是要靠软件,但现在英特尔还没有拿出完美的补丁。用户在安装英特尔此前发布的补丁后发现设备重启频率增加,英特尔只得建议用户推迟安装。
2018年1月26日英特尔表示会对处理器架构进行调整,永久避开Meltdown和Spectre漏洞,但新版芯片将在2018年年末才能上市。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com/news/1905518109.shtml
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容