英特尔方面称,由于黑客没有利用漏洞造成危害,该公司认为没有必要提前向美国当局报备这些问题。
2018年2月23日消息,本周四,美国几家科技公司发给国会议员的信件显示,在Alphabet公司提示人们注意芯片问题几个月后,芯片制造商英特尔公司才通知美国网络安全官员,其所生产芯片产品存在 崩溃 (Meltdown)和 幽灵 (Spectre)等安全漏洞。
这些漏洞可能导致国家安全隐患,政府却未能在这些漏洞公之于众之前被告知,现任和前任美国政府官员都对此表示担心。英特尔方面称,由于黑客没有利用漏洞造成危害,该公司认为没有必要提前向美国当局报备这些问题。
直到今年1月3日,英特尔才通知美国电脑急救准备小组(US-CERT),CPU芯片存在漏洞,而此前,关于这些漏洞的报道已在在线技术网站The Register流传开来。
US-CERT的职责是向公共和私营部门发布网络安全问题警告,该机构未对置评请求作出回应。
星期四,英特尔、Alphabet和苹果公司发出的信件详细说明了芯片缺陷被披露的时间细节,以回应众议院能源和商务委员会主席、俄勒冈州共和党人格雷格 沃尔登(Greg Walden)的提问。这些信件被路透社获取。
Alphabet表示,去年6月,谷歌Project Zero团队的安全研究人员曾将芯片存在漏洞一事告知芯片制造商英特尔公司、高级微设备公司和软银集团下属的ARM控股公司。
Alphabet要求芯片制造商在90天内解决问题,否则将对外公开,这种做法符合网络安全行业标准,目的是在一定时间内填补漏洞,以免被黑客利用。
Alphabet表示,应该由芯片制造商决定是否将安全缺陷告知政府官员,这也是一种常规做法。
信件披露,英特尔表示,之所以没有通知政府官员,是因为没有 任何迹象表明,这些漏洞已被恶意行为者所利用。
英特尔还表示,没有对这些缺陷是否可能危害关键基础设施进行分析,因为该公司认为这种缺陷不会影响工业控制系统。但英特尔说,确实已向其他使用其芯片的技术公司提供了信息。
英特尔、Alphabet和苹果公司没有立即置评。
AMD、ARM、微软和亚马逊公司也对议员们的提问做出了回应。
微软表示,在公开披露之前,已向几个杀毒软件制造商通报了这些缺陷,以便让后者有时间避免兼容性问题。AMD公司说,Alphabet将披露期限由标准的90天延长了两次,第一次是1月3日,第二次是1月9日。