通報AMD不到一天就公布漏洞資訊惹爭議，C - 3C

通報AMD不到一天就公布漏洞資訊惹爭議，CTS Labs：現行的「責任揭露」有問題


文/陳曉莉 | 2018-03-15發表


以色列資安業者CTS Labs本周二（3/13）對外揭露了13個涉及AMD處理器的安全漏洞，距
離通知AMD的時間不到24小時，引起外界嘩然，然而，CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信，表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。

CTS Labs本周的行為惹來許多批評，安全社群亦群起炮轟，有人抨擊CTS Labs無視「責任
揭露」精神，還有人揣測CTS Labs的作法是想拖跨AMD的股價，然而，Luk-Zilberman的解
釋讓許多人改變了態度。

Luk-Zilberman表示，該公司自一年前就開始研究由祥碩科技（ASMedia）代工的晶片，發
現它們含有可控制晶片的後門，接著購買AMD的Ryezn電腦並執行攻擊程式，顯示該後門依
然存在，可在AMD晶片組上讀、寫與執行程式，這使得他們開始研究AMD處理器，並發現一
個又一個的安全漏洞，於是決定將它們公諸於世。

對Luk-Zilberman而言，現有的「責任揭露」（Responsible Disclosure）存在著嚴重的
問題，假使研究人員發現一個漏洞，該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制，之後研究人員再揭發漏洞。

問題之一是在於漏洞修補期間，是由供應商決定是否要通知用戶，迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險，甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞，而研究人員公布了漏洞細節與攻擊程式，則
將危害使用者安全，等於是將供應商的過失轉嫁到用戶身上。

於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾，警告漏洞可能帶來的
影響，但直到漏洞被修補之後再公布技術細節，讓供應商承受來自使用者的壓力，也能避
免使用者承擔安全風險。

事實上，CTS Labs所公開的漏洞白皮書中並未涉及技術細節，但提交給AMD的報告中卻有
詳細的資訊，此外，已有不少安全專家驗證CTS Labs所提出的是有效的漏洞，儘管相關漏
洞需要管理權限才能開採，可一旦遭到開採，就能夠被植入可長久存在的惡意程式。

https://www.ithome.com.tw/news/121826

還真敢講，呵呵

--
作者 kech9111 (...) 看板 Gossiping
標題 [問卦] 有沒有亞洲只剩台灣沒有知名樂園的八卦？
時間 Wed Dec 24 19:18:26 2014

--