研究人員表示英特爾安全聲明就是個(gè)“厚顏無(wú)恥的謊言”
責(zé)編:gltian |2018-10-15 14:12:21英特爾宣稱“保護(hù)客戶的數(shù)據(jù)和確保產(chǎn)品的安全是我們的第一要?jiǎng)?wù)”。然而,安全研究員 Stefan Kanthak 并不這么認(rèn)為。
英特爾管理引擎(ME)的制造模式( Manufacturing Mode )存在諸多問(wèn)題,如果開啟,處理器芯片將無(wú)法抵御本地攻擊。媒體就該問(wèn)題作出報(bào)道后,Kanthak在給媒體的郵件中表示,英特爾大言不慚的聲明就是個(gè)厚顏無(wú)恥的謊言。
該聲明是個(gè)典型的公關(guān),毫無(wú)價(jià)值。
這句評(píng)價(jià)或許有點(diǎn)過(guò)了。今年早些時(shí)候,影響AMD、ARM、英特爾等廠商的幽靈和熔斷邊信道處理器漏洞曝光后,英特爾英特爾已做出努力更加重視安全問(wèn)題,至少,會(huì)更多地談及該問(wèn)題了。
這家芯片巨頭已經(jīng)從堅(jiān)稱被發(fā)現(xiàn)的漏洞利用不是其設(shè)計(jì)缺陷的錯(cuò)并將其他芯片制造商也拖下水,進(jìn)化到了雇傭危機(jī)公關(guān)公司 Sard Verbinnen & Co,成立英特爾產(chǎn)品保障與安全(IPAS)產(chǎn)品安全小組,發(fā)布一系列補(bǔ)丁,在 Whiskey Lake 和即將推出的 Cascade Lake 芯片中實(shí)現(xiàn)設(shè)計(jì)修改。
Chipzilla知情人士表示,該公司真誠(chéng)渴望制造更安全的產(chǎn)品。
情感能否轉(zhuǎn)化為能力尚未可知。但英特爾確實(shí)進(jìn)行了公司結(jié)構(gòu)革新以提升其安全狀況。不過(guò),Kanthak認(rèn)為英特爾的安全熱情并沒有全公司范圍擴(kuò)散。
產(chǎn)品安全事件響應(yīng)團(tuán)隊(duì)(PSIRT)自幽靈/熔斷漏洞曝光依賴就十分繁忙,響應(yīng)時(shí)間顯著增加。但英特爾并非在唱獨(dú)角戲,有很多獨(dú)立小組和部門在編寫驅(qū)動(dòng)、應(yīng)用及其安裝程序。應(yīng)對(duì)幽靈/熔斷的人通常都不是編寫(Windows)驅(qū)動(dòng)或應(yīng)用的那些。
Kanthak尤為關(guān)注英特爾面向Windows的軟件,一直在敦促微軟停止使用帶漏洞的工具構(gòu)建Windows安裝程序。他最近剛披露了英特爾至尊調(diào)優(yōu)實(shí)用程序( Extreme Tuning Utility )的問(wèn)題,暴露出英特爾甚為馬虎的軟件構(gòu)建方法。
最初的漏洞報(bào)告于2017年9月4日提交,因?yàn)闆]收到任何回復(fù),Kanthak在2018年3月22日又提交了一次。2018年5月22日,英特爾發(fā)布了所謂的補(bǔ)丁,但沒有任何安全建議,漏洞也依然存在。2018年6月5日和9月11日,后續(xù)漏洞報(bào)告出現(xiàn),英特爾重新修復(fù)了其代碼,這一次,附上了安全建議。
作為英特爾安全問(wèn)題響應(yīng)遲緩的進(jìn)一步證據(jù),Kanthak向媒體提供了6月間提交的一打英特爾軟件漏洞報(bào)告,并要求不公布具體細(xì)節(jié),因?yàn)橛⑻貭柹形葱迯?fù)其中一些漏洞。
去年報(bào)告的微軟 .NET Framework 漏洞也會(huì)影響到英特爾的代碼,且該漏洞微軟拒絕修復(fù)。Kanthak稱:Windows Vista 發(fā)布后,英特爾開始在其多款驅(qū)動(dòng)的圖形用戶界面(GUI)應(yīng)用中使用 .NET Framework。由于這些應(yīng)用需要管理員權(quán)限執(zhí)行,可能導(dǎo)致提權(quán)攻擊或用戶賬戶控制(UAC)繞過(guò)。
面對(duì)Kanthak的批評(píng),英特爾通過(guò)電子郵件給出了以下聲明:
保護(hù)我們的客戶及其數(shù)據(jù)一直是英特爾的頭等大事。我們遵從協(xié)同披露原則以部署緩解措施和通告公眾。鑒于我們產(chǎn)品的通用本質(zhì),我們通常與客戶和其他第三方合作,包括硬件、軟件及服務(wù)提供商,還有終端用戶,一起開發(fā)并部署緩解措施。有效緩解可能需要各方協(xié)作。
至于融合安全與管理引擎(CSME),英特爾最近在季度包中整合了CSME更新以簡(jiǎn)化更新過(guò)程,為我們的客戶和合作伙伴提高可預(yù)測(cè)性,讓驗(yàn)證和應(yīng)用修復(fù)補(bǔ)丁,以及向終端用戶提供補(bǔ)丁都更為簡(jiǎn)便。
換言之,英特爾的安全步伐還是走得慢悠悠。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧