英特尔在2018年1月3日公开宣布了有关严重漏洞
Meltdown和
Spectre的信息 ,目前台式机,服务器,平板电脑,智能手机等中使用的几乎所有处理器都在不同程度上受到漏洞的影响,这些漏洞与推测性执行指令的机制有关在现代处理器中-这是近年来发现的最严重的CPU安全漏洞。
新闻稿原计划于1月9日发布,但1月2日
, The Register向公众泄露了信息。
当然,英特尔早在向公众宣布之前就已经意识到该漏洞(实际上,漏洞是由Google Project Zero安全部门的一名成员于2017年6月发现的)。 以前,有必要在云存储数据中心中开发补丁,通知设备制造商并升级系统。 据知情人士透露,最有趣的是,
《华尔街日报》 写道 ,英特尔在将其漏洞报告给美国政府机构之前通知了其中国合作伙伴。
一方面,从补丁开发的角度来看,此顺序似乎是合理的。 但是一些专家表示担心,由于英特尔的这种政策,中国情报服务可能比美国情报服务更早发现漏洞,并在补丁发布之前就使用它们。
研究人员指出,这些只是推测性假设。 实际上,没有证据表明发生了这种攻击。 但是,如果是针对特定目标的有针对性的攻击,则有关这些目标的信息可能不会浮出水面,或者可能不会引起攻击,或者受害者宁愿对事件保持沉默。 因此,目前缺乏踪迹并不能保证中国黑客没有利用收到的信息。
国土安全部(DHS)的发言人表示,其员工从1月3日的新闻中了解到该漏洞。
NSA代表还
承认 ,他们对错误一无所知,无法利用它们。 尽管他提出了保留,但他了解并非所有人都会相信他的话。
但是,这些漏洞非常严重,并且要受到如此多的处理器(几乎所有计算机)的制约,以至于世界上任何情报机构去年都会为这些漏洞的信息付出高昂的代价。 NSA前雇员杰克·威廉姆斯(Jake Williams)“几乎可以肯定”,因为中国政府机构定期跟踪英特尔与中国公司(包括硬件制造商和云托管公司)之间的通信,因此他们会提前收到有关Meltdown和Spectre的信息。
专家们的偏执情绪是很合理的,因为过去已经有证据表明,中国的“国家”黑客使用0day软件漏洞参与了对外国目标的利用和攻击开发。 现在的情况并没有太大的不同,只是漏洞更加严重。
英特尔代表拒绝提供公司名单,这些公司已获得有关处理器0day的预先信息,并且事先与他们合作解决了后果。 当然,谷歌就是其中之一(实际上,它的员工发现了错误)。 英特尔表示,其中也包括“关键”计算机制造商。 众所周知,联想就是其中之一,因为联想在1月3日的新闻稿中承认,它已经提前修复了错误。 提前宣布了云托管服务(微软,亚马逊,中国阿里巴巴集团控股公司,前两个出于营销目的报告了这一事实),ARM控股公司和其他一些公司。
英特尔表示,无法将该消息通知包括美国情报机构在内的所有人,因为该信息在计划之前(1月2日而不是1月9日)就已经公开,但借口似乎微不足道。
即便如此,英特尔的政策是在发现已发现的错误之前仅通知最大的合作伙伴,这使其他所有人都感到不舒服。 这包括不正当竞争。 例如,云提供商Joylent和DigitalOcean
仍在努力修复漏洞,而大型云托管公司(其竞争对手)则有半年的障碍。 目前尚不清楚为什么英特尔没有首先通知国家计算机紧急响应中心(CERT)。