汉中信息港
金融
当前位置:首页 > 金融

ectre处理器漏洞问题iyiou.com

发布时间:2019-03-11 17:30:09 编辑:笔名

在美国政府之前,英特尔提前告知中国巨头企业关于CPU漏洞的信息

在告知美国政府之前,英特尔曾警告中国企业有关臭名昭著的Meltdown和Spectre处理器漏洞问题。

据华尔街报道,并引用了一些不知名的知情人士和一些相关公司的说法,包括联想和阿里巴巴在内的一些大客户,在美国政府和规模较小的云计算供应商之前,就已经了解到一些设计的缺陷。

这一披露时间表提出了一种可能性,即在美国政府和公众知晓英特尔CPU漏洞之前,中国政府的某些部门可能已经了解了这些信息。

在被其他安全研究团队独立发现并报告之前,谷歌Project Zero security团队的一名成员首先发现了Meltdown和Spectre芯片的缺陷。据《华尔街》报道:英特尔原本计划于1月9日将这一发现公之于众但在1月3日这一消息广为人知之后,它提前了时间。就在一天前,英国站The Register报道了这些漏洞。

英特尔和谷歌安全用手抚着我的肩头安全人员以及其他发现处理器缺陷的团队致力于解决这个漏洞,当然还有PC制造商尤其是大型的OEM厂商以及云计算公司,包括联想、微软、亚马逊和ARM。

华尔街没有提到何时向联想等公司发出通知,但一份泄露给电脑制造商的备忘录显示,11月29日,至少有一群尚未命名的oem厂商的问题已经通过一份保密协议进行,如之前报道的那样。1月3日,联想迅速推出了一项声明,向客户提供有关漏洞的建议,原因是该公司在与行业处理器和操作系统合作伙伴的合作之前完成了这项工作。

据一位知情人士透露,中国云服务的提供商阿里巴巴集团也提前收到通知。阿里巴巴的一位发言人向《华尔街》透露,该公司与中国政府分享威胁情报的言论是纯属猜测和毫无根据的。

联想表示,英特尔的信息受到保密协议的还不错保护。

负责美国CERT的国土安全部的一名官员表示,他们只是从早期的报道中了解到处理器的脆弱性。我们当然希望得到通知,他们补充说。

白宫络安全高级官员Rob Joyce公开宣称,国家安全局也没有意识到所谓的Meltdown和Spectre的缺陷。

因为他们有早期预警,微软、谷歌和亚马逊在Meltdown 和 Spectre漏洞公开之前,就能够为他们的云计算客户推出保护措施。

这一点很重要,因为Meltdown它允许恶意软件从英特尔的计算机内存中提取密码和其他秘密很容易被利用,而云计算环境在允许客户共享服务器的情况下几乎完全暴露。有人在云盒上租了一台虚拟机,通过Meltdown设计的缺陷,可以窥探另一个人使用同一台主机服务器。

小型的云服务提供商则在玩追赶,三星电子旗下的美国云服务提供商Joyent,可能是受益于警告的企业之一,但在公开披露前未被包括在此前公布的名单中。

该公司首席技术官Bryan Cantrill告诉《华尔街》:其他人有六个月的时间,我们依然在争抢。他补充道,我不明白为什么CERT不会是你的站。

El Reg要求英特尔就其披露政策发表评论。在一份声明中,Chipzilla告诉我们,它不能告知所有那些计划提前进行预警的人,包括美国政府,因为在1月9日的声明之前,有关漏洞的消息已经爆发了:

Google Project Zero团队以及包括英特尔在内的一些厂商都遵循了负和可协调信息披露的做法。标准和完善的初始信息披露实践是为了更好地与行业参与者一起开发解决方案,并在发布前部署修复程序。在这起事件中,有关这一漏洞的报道是在行业联盟的公开披露日期之前公布的,

当时英特尔立即与美国政府及其他机构进行了接触。

美国CERT是一个安如果讨厌一个人全信息交换机构,该机构初曾建议,只有在修改其位置之前,才可以通过更换未受影响的处理器来解决Spectre的缺陷,并建议应用供应商提供的补丁提供足够的缓解措施。

El Reg请求美国CERT公司在Meltdown和Spectre漏洞的情况下公布信息披露的过程,但还没有收到回复。

关注ITBear科技资讯公众号(itbear365 ),每天推送你感兴趣的科技内容。

声明:本文仅为传递更多络信息,不代表ITBear观点和意见,仅供参考了解,更不能作为投资使用依据。

亿欧朋友群交流第九期:旅游O2O趋势
2014年宁波生鲜食品战略投资企业
2009年上海体育战略投资企业