AMD 承諾在未來幾週內補上被 CTS 爆出的漏洞

在十天前被以色列公司 CTS Labs 爆出，旗下平台安全處理器存在 13 項可能讓駭客竊取敏感數據、安裝惡意軟體或是控制電腦的漏洞後（可歸為 RyzenFall、MasterKey、Fallout、Chimera 這幾類），AMD 現在終於出來表明了自己的態度。在新發表的聲明中，他們淡化了漏洞的威脅性，並且承諾在未來幾週時間內便會推出對應的補丁程式。

不過在漏洞相關的技術問題以外，CTS 此次在向 AMD 通報時選擇的方式，卻引發了關於責任披露的一場討論。一般來說，安全專家在發現某家公司的產品存在漏洞後，都會給對方 90 天甚至更長的反應時間（視漏洞嚴重性而定）。比如說 Google 在將 Meltdown 和 Spectre 公之於眾前就給了 Intel 差不多 200 天，大家這麼做的原因很簡單，就是為了在漏洞被濫用前先給涉事方補救的機會，盡可能消除潛在的風險。

但是在這一次的事件中，CTS Labs 在知會 AMD 短短 24 小時後，便對外公佈了他們的發現。而在如此短的時間內，後者顯然是無法及時拿出解決辦法的。是說，CTS 盡管沒有給出可能傷害到用戶的任何技術細節，但其過早公開的行為還是在行業內造成了連鎖反應。在接受 ZDNet 採訪時，Linux 之父 Linus Torvalds 更是直言：「在我眼中這看似提出安全建議的行為其實更像是要蓄意操縱股票。」

當然，CTS 方面堅稱自己的做法完全在理，因為他們認為 AMD 是沒法在「好多月，甚至一年」的時間內把漏洞補上的。公司 CTO Ilia Luk-Zilberman 此前也在 AMDflaws 上發文闡述了自己對 90 天反應期的想法，並表示第一時間將漏洞公開的行為，其實是為了向相關方面施加壓力，這樣才能在最短時間裡把問題解決。

但不管怎麼說，AMD 目前已經在不算久的時間裡給出了初期的解決方法，很快用戶就可以進行相關的 BIOS 更新（放心，這是不會拖慢電腦的）。至於類似情況的反應時間到底該給多久，坊間也依舊有各種不同的聲音。對於此事，不知各位讀者都持什麼樣的態度呢？

來源: AMD

經由: Engadget, The Hacker News