通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題
文/陳曉莉 | 2018-03-15發表
以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距
離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。
CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。
Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。
對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。
問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。
於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。
事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。
https://www.ithome.com.tw/news/121826
還真敢講,呵呵