英特尔仍在努力解决其处理器安全漏洞的真相
英特尔在今年早些时候披露了其处理器的一系列新的安全性问题,并发布了解决方案以解决这些问题。尽管芯片制造商可能暗示问题已经解决,但事实并非如此。《纽约时报》报道说,今年早些时候的修复程序仅修补了一些研究发现的安全漏洞。
在一份令人发指的报告中,《纽约时报》采访了关键安全研究人员,他们发现了最新一轮的处理器漏洞。阿姆斯特丹Vrije Universiteit的荷兰研究人员于2018年9月首次向英特尔报告了一系列安全问题,英特尔于5月修补了一些问题。英特尔本周初发布了另一轮安全更新,但问题仍然存在。
这些研究人员在八个月的时间里一直保持沉默,为英特尔提供了开发修补程序的重要时间。英特尔甚至要求安全研究人员更改他们计划发表的论文,因为很明显这家芯片制造商需要更多时间,并且不希望这些缺陷成为公众知识。
在周二发布的英特尔最新补丁程序发布之前,该公司已获悉更多未修复的漏洞,并要求研究人员再次保持沉默,但他们拒绝了。这些安全性研究现在表明,英特尔没有正确测试2018年9月提供的重要概念验证代码,并且该公司并未解决问题的根源。
英特尔向The Verge发送了以下声明:
我们致力于解决影响客户的安全漏洞,并提供有关解决方案,影响,严重性和缓解措施的负责任指导。我们对处理披露的方式非常公开,包括我们坚信协调披露的价值(请参阅https://www.intel.com/content/www/us/en/corporate-responsibility/product-security.html)。我们认真对待所有潜在的安全漏洞,无论是内部还是外部发现的漏洞,我们都会与各方积极合作,以确保在公开披露之前已采取缓解措施。
这些问题的核心是最初于2018年1月在处理器中发现的Meltdown和Spectre漏洞。当这些漏洞首次被披露时,研究人员警告称,该漏洞的变体和其他后果将在未来几年内出现。英特尔没有解决现有处理器中的核心问题,这意味着需要重新设计,相反,它是一种无休止的打磨游戏,可以修补弹出的每个变体。
更大的问题仍然是英特尔在这些处理器问题上缺乏透明度。该公司试图通过混淆和措辞谨慎的陈述来尽早淡化这些问题。自发现这些关键处理器缺陷以来,我们已经接近两年了,英特尔仍在误导其修复状态的客户。
“我们确定,仍有大量漏洞存在,”阿姆斯特丹自由大学大学教授赫伯特·博斯在接受《纽约时报》采访时说。“而且,在他们的声誉受到威胁之前,他们不打算进行适当的安全工程。”