大风号出品

安全机构公布AMD安全漏洞 为何引来各界臭骂?

威锋网 <更多内容 2018-03-14 17:48:56

原标题:安全机构公布AMD安全漏洞 为何引来各界臭骂?

Meltdown 和 Spectre 这两个漏洞大家还记得吧?它们不仅让英特尔深受其害,ARM 架构的处理器也受到影响,苹果等手机厂商都为此发布过补丁。不过当时 AMD 却幸免于难,Zen 架构完全没有受影响。可近日却有一个以色列的安全机构 CTS-Labs 爆出猛料:AMD 的 Zen 架构也存在安全漏洞!为厂商指出漏洞其实是一件好事,之前发现 Meltdown 和 Spectre 的谷歌 Project Zero 等机构都被业界广泛赞扬,但是今天 CTS-Labs 却意外地受到了各方的质疑甚至是臭骂,Linux 之父甚至将他们形容为“像妓女一样吸引眼球”,这到底是为什么呢?我们来理一理这个事件。

原来 CTS-Labs 违背了安全机构和公司的最高守则:在对外公布漏洞之前,需要给厂商90天时间修复这一漏洞。

AMD 今天就在官方声明中表示, CTS-Labs 直接将该漏洞公布给了媒体,却没有给 AMD 任何合理的时间来调查和解决问题。据悉,CTS-Labs 在公布漏洞之前24小时才把漏洞提交给 AMD,之所以要给厂商90天时间,是因为要给足够的时间来修复漏洞,然后推送安全补丁,把漏洞的负面影响降到最低。像这样直接公布,就意味着黑客能够为所欲为。

在 AMD 公开回应之后,知名硬件媒体 AnandTech 也对 CTS-Labs 表达了质疑,他们表示 CTS-Labs 在公布漏洞之前,提前联系了一些媒体,还雇佣了公关公司来联系媒体和应对公众( AnandTech 本身也是媒体,所以才能得知这一情况)。

并且他们还查到, CTS-Labs 公司成立于2017年,没有公布过任何客户,这也是他们发布的第一个安全报告,就爆出了这么大的新闻。除此之外,CTS-Labs 为了这次漏洞专门在半个月之前建立了一个名为 AMDFlaws.com 的网站,看样子是瞄准 AMD 而来的。

这不得不让人怀疑,这次的事件是不是有人在背后搞鬼来恶意攻击 AMD,毕竟 AMD 在最近一年突飞猛进,在 Zen 架构的加持下,Ryzen 系列大卖,Ryzen 的 APU 产品刚刚上市,而第二代 Ryzen 也已经箭在弦上,所以这次突然爆出 Zen 架构的漏洞,确实会够 AMD 吃一壶了,毕竟他们连推送补丁的机会都没有。

不过我们还是要强调,

CTS-Labs 公司公布的其实是安全协处理器和芯片组的漏洞,Zen 架构本身是没有问题的。

但是因为 CTS-Labs 公司公布漏洞的方式太过诡异,不少业内人士都已经开骂了,Linux 之父 Linus Torvalds 就表示:“他们再一次刷新了安全行业的底线,之前我已经觉得这个行业够乱了,但没想到会有如此无耻的人,什么时候安全工作者也需要像 Whore (译者注:妓女、男娼)一样吸引眼球了?或许以后他们都应该在名片上标注‘我不是个 Whore ,我保证’。”

不少媒体已经像 CTS-Labs 公司发送了质疑邮件,AMD 公司也已经在调查和分析,如果有新消息,威锋网会第一时间更新。

本文来自大风号,仅代表大风号自媒体观点。

凤凰争鸣微信号

来点暖心的!
扫这里

凤凰精品

  • 威锋网
  • 暖新闻
  • 热追踪
  • 在人间
  • 军机处
  • 洞见