英特尔的主要芯片缺陷仍未得到修复
从报表纽约时报声称,英特尔曾多次要求一组荷兰研究人员的,保持沉默了漏洞,它的芯片,尽管还没有固定的全部问题英特尔补丁的重复实例。
该漏洞主要基于以下事实:英特尔芯片通常会在预期处理需求以提高性能时执行某些功能。但是,如果这些功能被中止,则创建的数据会在系统中保留很短的时间,而在处理或存储这些数据时,很容易被黑客提取。
阿姆斯特丹自由大学大学的研究人员于2018年9月发现并报告了英特尔处理器中的漏洞。根据该报告,5月份发布的修复该问题的英特尔补丁未能完全解决该问题。因此,第二个补丁程序于2019年11月12日星期二发布,显然应该可以解决所有问题。研究人员说,至少是这样。该报告指出:
研究人员在最近的一次采访中说,距离该公司周二公开披露的第二个补丁还需要六个月的时间,它才能修复英特尔表示的五月份修复的所有漏洞。
阿姆斯特丹Vrije Universiteit大学计算机科学教授,报告漏洞的研究人员之一克里斯蒂亚诺·朱夫里达(Cristiano Giuffrida)说,来自英特尔的公开信息是“一切都是固定的”。“而且我们知道那是不正确的。”
Giuffrida所指的不准确之处在于,周二提供的补丁并不能解决他们在五月份告诉英特尔的另一个缺陷:
现在,荷兰研究人员声称英特尔再次在做同样的事情。他们说,周二发布的新补丁仍然无法修复他们在五月份向英特尔提供的另一个缺陷。
英特尔承认,五月份的补丁程序无法修复研究人员提交的所有内容,也不能修复星期二的修复程序。但是,该公司发言人莱·罗森瓦尔德(Leigh Rosenwald)说,它们“大大降低了”遭受攻击的风险。
该报告指出了围绕这种情况的标准行业惯例,发现漏洞并报告漏洞的安全公司通常会同意在公司可以发布修补程序来解决该问题之前不发布其发现。这就是为什么直到修复完大多数安全漏洞后您才知道的。荷兰研究人员声称,在向英特尔提交初次报告后,他们保持沉默了八个月。英特尔在五月份发布修复程序时,他们意识到该补丁程序并未包括他们已经告知英特尔的所有漏洞利用程序,因此被要求保持沉默六个月。显然,他们还被要求更改他们计划提交给安全会议的论文。
该报告声称,在星期二获释后,该小组再次被要求保持沉默,但是他们拒绝了,因此发生了这个故事:
Giuffrida先生和Vrije Universiteit Amsterdam的Razavi先生的同事Herbert Bos说:“我们认为现在是时候向全世界简单地说明英特尔了,甚至现在还没有解决问题。”
该报告继续表明,英特尔可能忽略了该小组提供的一些“概念验证”漏洞,并且这样做并未发现任何其他漏洞,这就是为什么英特尔无法做到这一点。一口气修补所有漏洞:
博斯说:“我们相信,仍然存在大量漏洞。”“而且,在他们的声誉受到威胁之前,他们不打算进行适当的安全工程。...”“他们错过的许多攻击都是几行与其他代码不同的代码。Giuffrida先生说:“有时有时只有一行代码。这的含义当然令人担忧。这意味着,除非我们为他们提供所有可能的问题变体,否则他们实际上将无法解决问题。”
英特尔的一位发言人说,英特尔已经“大大降低了”遭受攻击的风险。她还说,它已经通过某些芯片的硬件修复解决了核心问题,并计划为其他芯片做同样的事情。
该小组决定在这种情况下公开的另一个原因是该漏洞已开始泄漏,以至于该信息从其他来源传回了他们。现在,他们担心人们可能会对不受保护的人们使用此漏洞。目前尚不清楚哪些漏洞实际上仍然存在,英特尔需要多长时间才能修复它们。