通报AMD不到一天就公布漏洞资讯惹争议,CTS Labs:现行的“责任揭露”有问题
文/陈晓莉 | 2018-03-15发表
以色列资安业者CTS Labs本周二(3/13)对外揭露了13个涉及AMD处理器的安全漏洞,距
离通知AMD的时间不到24小时,引起外界哗然,然而,CTS Labs技术长Ilia
Luk-Zilberman很快就发表一封公开信,表示是想借此呼吁大家重新审视现有的漏洞揭露
程序。
CTS Labs本周的行为惹来许多批评,安全社群亦群起炮轰,有人抨击CTS Labs无视“责任
揭露”精神,还有人揣测CTS Labs的作法是想拖跨AMD的股价,然而,Luk-Zilberman的解
释让许多人改变了态度。
Luk-Zilberman表示,该公司自一年前就开始研究由祥硕科技(ASMedia)代工的芯片,发
现它们含有可控制芯片的后门,接着购买AMD的Ryezn电脑并执行攻击程式,显示该后门依
然存在,可在AMD芯片组上读、写与执行程式,这使得他们开始研究AMD处理器,并发现一
个又一个的安全漏洞,于是决定将它们公诸于世。
对Luk-Zilberman而言,现有的“责任揭露”(Responsible Disclosure)存在着严重的
问题,假使研究人员发现一个漏洞,该政策建议研究人员应在30天、45天或90天等有限的
期间内与供应商共同打造缓解机制,之后研究人员再揭发漏洞。
问题之一是在于漏洞修补期间,是由供应商决定是否要通知用户,迄今绝大多数的供应商
都在修补完毕后才告知客户相关漏洞及可能的风险,甚少是在发现漏洞之际就进行通知。
第二个问题是倘若供应商未能及时修补漏洞,而研究人员公布了漏洞细节与攻击程式,则
将危害使用者安全,等于是将供应商的过失转嫁到用户身上。
于是Luk-Zilberman认为更好的方式是在同一天通知供应商与大众,警告漏洞可能带来的
影响,但直到漏洞被修补之后再公布技术细节,让供应商承受来自使用者的压力,也能避
免使用者承担安全风险。
事实上,CTS Labs所公开的漏洞白皮书中并未涉及技术细节,但提交给AMD的报告中却有
详细的资讯,此外,已有不少安全专家验证CTS Labs所提出的是有效的漏洞,尽管相关漏
洞需要管理权限才能开采,可一旦遭到开采,就能够被植入可长久存在的恶意程式。
https://www.ithome.com.tw/news/121826
还真敢讲,呵呵