英特爾被指晶片漏洞先通知中國公司 美國有人吃醋

中國小康網1月29日訊 老馬 安全研究人士稱，這一決定可能已導致漏洞相關信息在對外公布之前落入中國政府之手，從而引發了安全擔憂。

英特爾這些晶片漏洞被稱為「幽靈」(Spectre)和「熔斷」(Meltdown)。

不過，這些研究人士同時表示，尚沒有證據表明此類信息被不當使用。

英特爾處理器晶片有重大安全漏洞

華爾街日報報導，在晶片安全漏洞問題曝光數周之後，英特爾選擇提前通知哪些客戶或機構的決定在安全和科技行業掀起的波瀾仍未平息。

谷歌(Google)網際網路安全團隊Project Zero於去年6月份首先發現了這些漏洞。

通常情況下，負責保護系統免受黑客攻擊的技術人員會選擇暫不對外公布這類信息，同時加緊開發補丁。

英特爾原計劃於1月9日對外公布相關信息，但1月2日英國網站the Register曝光了這些漏洞並在第二天引發廣泛關注，英特爾不得已加快了時間表。

安全公司Rendition Infosec LLC總裁、美國國家安全局(National Security Agency, 簡稱NSA)前雇員Jake Williams稱，由於這些漏洞可能會被利用來獲取雲平台上的敏感信息，任何一家情報收集機構都會抱有極大的興趣。

過去，被認為與中國政府有關聯的黑客就曾利用軟體漏洞來攻擊其目標或擴大監控。

Williams稱，英特爾與其中方科技夥伴的溝通「幾乎可以確定」為中國政府所了解，因為中國政府通常會對所有這類溝通進行監控。

英特爾一名發言人對1月9日按期發布漏洞信息前通知了哪些公司不予置評。

這名發言人稱，由於相關消息被公諸於眾的時間早於預期，該公司無法按計劃通知所有相關方，美國政府也不例外。

英特爾一方面提前通知足夠大的客戶以避免重大損失，另一方面儘量把漏洞信息控制在內部以防消息泄漏，這種做法導致並未提前得到通知的小公司現在仍疲於應對。

Joyent Inc.是三星電子(Samsung Electronics Co., 005930.SE)旗下位於美國的雲服務供應商，該公司首席技術長Bryan Cantrill稱，公司仍在拚命追趕。

他稱，其他公司提前六個月就獲得通知，Joyent只能倉促應對。

英特爾在回覆《華爾街日報》(The Wall Street Journal)的電郵聲明中稱，在漏洞被披露前的幾個月里，英特爾和Alphabet Inc. (GOOG)旗下谷歌(Google)還有其他幾家「關鍵」電腦生產商和雲計算公司就補救措施展開了合作。

美國國土安全部(Department of Homeland Security)一位官員表示﹐該部門工作人員是從1月3日的新聞報導中獲悉英特爾晶片存在缺陷的。

國土安全部往往會先於公眾獲知所發現的漏洞﹐並且是發布此類問題解決方法的權威信息源。

這位官員表示﹐他們當然希望有人能通知他們這件事情。

白宮最高網絡安全官員Rob Joyce表示﹐NSA同樣蒙在鼓裡。

在1月13日一條Twitter消息中﹐Joyce表示NSA對這些缺陷毫不知情。

白宮一位發言人未予進一步置評﹐讓記者參看該條推文。

中國計算機生產商聯想集團有限公司(Lenovo Group Ltd., LNVGY)和美國微軟(Microsoft Co., MSFT)、亞馬遜公司(Amazon.com Inc., AMZN)以及英國ARM Holdings (ARMH)等大型科技公司一樣﹐均被提前告知了這些缺陷的存在。

聯想一位發言人在電子郵件中表示﹐由於聯想已在1月3日前與處理器和作業系統合作夥伴開展了相關工作﹐因此得以在當日發布一則聲明﹐就這些缺陷向客戶提供建議。

據一位知情人士表示﹐中國最大雲計算服務商阿里巴巴集團(Alibaba Group Holding Ltd., BABA)也提前了解了情況。

阿里巴巴雲計算部門一位發言人未就該公司何時獲知漏洞信息置評。

她表示，任何認為該公司或許與中國政府部門分享了信息的想法都是猜測和無根據的。

聯想集團發言人表示，英特爾的信息受到保密協議保護。

安全服務銷售商Immunity Inc.的首席執行長Dave Aitel表示，儘管存在安全問題，但對部分大型全球公司的提早預警發揮了作用。

他表示，為遏制可能的消息外泄，英特爾只會讓儘可能少的人知道此事。

正是因為有這些早期預警，微軟、谷歌和亞馬遜才能夠在該漏洞消息傳出後不久即發表聲明稱，它們的雲計算用戶在很大程度上受到了保護。

但較小型競爭者仍然面臨困境。

雲服務商DigitalOcean Inc. 1月19日表示，正在為客戶測試一個修復程序。

Rackspace Inc.則在上周三表示，幾個團隊正在努力修復這一問題。

該雲服務商1月稍早對其客戶表示，該公司明白這種情況可能令人沮喪。

美國國土安全部最初的指導也出現失誤。

其計算機應急響應組(Computer Emergency Response Team)最初的建議稱，徹底消除漏洞的唯一方法是更換晶片。

但目前該小組建議用戶安裝系統補丁。

Joyent的Cantrill表示，美國國土安全部應該儘早介入，以協調披露這一缺陷。

他不明白為什麼不首先通知計算機應急響應組。