最新軟體應用文章

Image credit: welcomia

AMD 承諾在未來幾週內補上被 CTS 爆出的漏洞

之前 CTS 在對外公佈前只給了 AMD 短短 24 小時反應時間。

Sanji Feng
2018 年 3 月 22 日, 早上 09:00
分享次數
分享
分享
Twitter 發表
line
電郵
儲存

在十天前被以色列公司 CTS Labs 爆出,旗下平台安全處理器存在 13 項可能讓駭客竊取敏感數據、安裝惡意軟體或是控制電腦的漏洞後(可歸為 RyzenFall、MasterKey、Fallout、Chimera 這幾類),AMD 現在終於出來表明了自己的態度。在新發表的聲明中,他們淡化了漏洞的威脅性,並且承諾在未來幾週時間內便會推出對應的補丁程式。

不過在漏洞相關的技術問題以外,CTS 此次在向 AMD 通報時選擇的方式,卻引發了關於責任披露的一場討論。一般來說,安全專家在發現某家公司的產品存在漏洞後,都會給對方 90 天甚至更長的反應時間(視漏洞嚴重性而定)。比如說 Google 在將 Meltdown 和 Spectre 公之於眾前就給了 Intel 差不多 200 天,大家這麼做的原因很簡單,就是為了在漏洞被濫用前先給涉事方補救的機會,盡可能消除潛在的風險。

但是在這一次的事件中,CTS Labs 在知會 AMD 短短 24 小時後,便對外公佈了他們的發現。而在如此短的時間內,後者顯然是無法及時拿出解決辦法的。是說,CTS 盡管沒有給出可能傷害到用戶的任何技術細節,但其過早公開的行為還是在行業內造成了連鎖反應。在接受 ZDNet 採訪時,Linux 之父 Linus Torvalds 更是直言:「在我眼中這看似提出安全建議的行為其實更像是要蓄意操縱股票。」

當然,CTS 方面堅稱自己的做法完全在理,因為他們認為 AMD 是沒法在「好多月,甚至一年」的時間內把漏洞補上的。公司 CTO Ilia Luk-Zilberman 此前也在 AMDflaws 上發文闡述了自己對 90 天反應期的想法,並表示第一時間將漏洞公開的行為,其實是為了向相關方面施加壓力,這樣才能在最短時間裡把問題解決。

但不管怎麼說,AMD 目前已經在不算久的時間裡給出了初期的解決方法,很快用戶就可以進行相關的 BIOS 更新(放心,這是不會拖慢電腦的)。至於類似情況的反應時間到底該給多久,坊間也依舊有各種不同的聲音。對於此事,不知各位讀者都持什麼樣的態度呢?