(原标题:英特尔芯片漏洞没有通知美国政府,但通知了大客户阿里和联想)
“漏洞门”被曝光之前,英特尔先通知了包括联想、阿里巴巴在内的大客户,而没有通知美国政府。
华尔街日报1月28日的报道中对此评论称,尽管漏洞已经曝光数周,但在安全领域和科技行业,对于英特尔提前警告了谁的选择争议尚未平息。
一般来说,美国国土安全部(Department of Homeland Security)会在消息公开之前得知漏洞信息,并作为权威部门向公众披露消息。
但美国国土安全部一位官员表示,1月3日消息被媒体曝光之后他们才得知英特尔的芯片漏洞。
美国国家安全局(NSA)同样被蒙在鼓里。白宫高级网络安全官员Rob Joyce 1月13日发表推特称,美国国家安全局先前“不知道这些漏洞”。
英特尔芯片的漏洞首先由谷歌Project Zero安全团队的一名员工发现。对这种情况,为了保护人们的系统免受黑客攻击,相关人员会选择对漏洞进行保密,直到漏洞能被修复之后再公开消息。原本英特尔的计划是1月9日向公众宣布此事,但漏洞被英国科技媒体The Register曝光之后,英特尔只得提前在1月3日就做出了公开声明。
此前的1月2日,英国科技媒体The Register曝光英特尔芯片存在“熔断”、“幽灵”两个严重安全漏洞,漏洞衍生的安全问题波及了全球所有的桌面系统、电脑、智能手机及云计算服务器,让所有能访问虚拟内存的CPU都可能被恶意访问,密码、应用程序密匙等重要信息面临了严重风险。
随后,大型科技公司包括谷歌、AMD、微软、苹果等,都推出了相应补丁,各地网络安全部门也发出了安全提醒。1月4日,中国国家信息安全漏洞共享平台收录了这两个漏洞,并对该漏洞的综合评级为“高危”。
华尔街日报1月28日的报道中提到,英特尔的发言人拒绝告知他们原计划在1月9日公开消息之前通知谁。实际上由于漏洞被提前曝光,英特尔最终也没能按计划通知到所有想要通知的机构,包括没通知美国政府。
此外,美国国土安全部对漏洞的最初指导也出现了失误。美国国土安全部的计算机应急响应组(Computer Emergency Response Team,CERT)最初的建议称,唯一解决漏洞的方法就是更换芯片,而现在他们的建议是安装补丁。
英特尔发给华尔街日报的声明中称,在漏洞曝光之前,英特尔已经在和谷歌等几家重要计算机制造商及云服务公司合作修复漏洞。由于提前得知了漏洞,微软、谷歌、亚马逊等公司得以在漏洞刚被曝光之时迅速发布声明,称他们的云计算客户大部分得到了保护。
联想与微软、亚马逊等公司一样,提前得知了英特尔芯片的漏洞,并在1月3日漏洞刚被曝光之时就发布了声明。联想发言人在给华尔街日报的邮件中称,“我们在那个日期之前就已经与合作伙伴做好了工作。”
据知情人士透露,阿里巴巴也被提前通知,不过阿里巴巴云计算部门的发言人拒绝告知公司是何时被通知漏洞的。
上述报道评论,英特尔的计划是,先通知漏洞可能造成更大范围影响的大客户,同时对漏洞尽量保密,这也让小公司无法提前得知消息。
Joyent公司是三星电子下属的一家美国云服务提供商,该公司的首席技术官表示,他们仍然在努力修复漏洞,“其他同行有6个月的时间提前准备,而我们现在只能仓促应对。”(来源: 澎湃新闻(上海))