手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

AMD 承诺在未来几周内补上被 CTS 爆出的漏洞

[日期:2018-03-22] 来源:瘾科技  作者:Linux [字体: ]

welcomia

在十天前被以色列公司 CTS Labs 爆出,旗下平台安全处理器存在 13 项可能让骇客窃取敏感数据、安装恶意软件或是控制电脑的漏洞后(可归为 RyzenFall、MasterKey、Fallout、Chimera 这几类),AMD 现在终于出来表明了自己的态度。在新发布的声明中,他们淡化了漏洞的威胁性,并且承诺在未来几周时间内便会推出对应的补丁。

不过在漏洞相关的技术问题以外,CTS 此次在向 AMD 通报时选择的方式,却引发了关于责任披露的一场讨论。一般来说,安全专家在发现某家公司的产品存在漏洞后,都会给对方 90 天甚至更长的反应时间(视漏洞严重性而定)。比如说 Google 在将 Meltdown 和 Spectre 公之于众前就给了英特尔差不多 200 天,大家这么做的原因很简单,就是为了在漏洞被滥用前先给涉事方补救的机会,尽可能消除潜在的风险。

但是在这一次的事件中,CTS Labs 在知会 AMD 短短 24 小时后,便对外公布了他们的发现。而在如此短的时间内,后者显然是无法及时拿出解决办法的。是说,CTS 尽管没有给出可能伤害到用户的任何技术细节,但其过早公开的行为还是在行业内造成了连锁反应。在接受 ZDNet 采访时,Linux 之父 Linus Torvalds 更是直言:「在我眼中这看似提出安全建议的行为其实更像是要蓄意操纵股票。」

当然,CTS 方面坚称自己的做法完全在理,因为他们认为 AMD 是没法在「好多月,甚至一年」的时间内把漏洞补上的。公司 CTO Ilia Luk-Zilberman 此前也在 AMDflaws 上发文阐述了自己对 90 天反应期的想法,并表示第一时间将漏洞公开的行为,其实是为了向相关方面施加压力,这样才能在最短时间里把问题解决。

但不管怎么说,AMD 目前已经在不算久的时间里给出了初期的解决方法,很快用户就可以进行相关的 BIOS 更新(放心,这是不会拖慢电脑的)。至于类似情况的反应时间到底该给多久,坊间也依旧有各种不同的声音。对于此事,不知各位读者都持什么样的态度呢?

本文永久更新链接地址https://www.linuxidc.com/Linux/2018-03/151508.htm

linux
相关资讯       AMD漏洞 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款