回上層
Disp BBS
看板 PC_Shopping
作者 hn9480412 (ilinker)
標題 [情報] 通報AMD不到一天就公布漏洞資訊惹爭議,C
時間 Thu Mar 15 19:31:32 2018

通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題


文/陳曉莉 | 2018-03-15發表


以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距
離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。

CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。


Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。


對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。


問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。


於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。


事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。


https://www.ithome.com.tw/news/121826
通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題 | iThome
CTS Labs認為現行的「責任揭露」精神有嚴重的問題,漏洞在修補期間由供應商決定是否要通知用戶,大多數供應商都在修補完畢後才告知,在修補期間用戶將處於安全風險而不知情,最好的做法是同一天通報業者及告知用戶,直到漏洞被修補之後再公布技術細節。 ...

 

還真敢講,呵呵

--
ineedadvice: 你把5566放在哪
......看錯12/24 19:19
KYALUCARD: ....要介紹眼鏡行嗎?12/24 19:19

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章代碼(AID): #1QgbcREL (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1521113499.A.395.html
kira925: 工三小1F 03/15 19:32
Shauter: 這群傢伙講露的東西 一方面是取得權限後脫褲子放屁2F 03/15 19:33
tomsawyer: wtf intel打手?3F 03/15 19:34
Shauter: 一方面又公然無視責任揭露精神 還有低能兒上當4F 03/15 19:34
tomsawyer: 然後漏洞不是要手刷特製bios5F 03/15 19:34
Shauter: 更好笑ASMedia的漏洞 你等等叫INTEL有種都原生6F 03/15 19:35
tomsawyer: 不然就是要有root權限才能(執行漏洞)破壞?7F 03/15 19:35
JoyRex: 人家有錢拿8F 03/15 19:35
Shauter: ASMedia一直都是大家最好用的第三方解決方案9F 03/15 19:35
labbat: 不是我醉了,而是全世界的人才醉了10F 03/15 19:36
yafx4200p: intel付你多少錢 我超微付你雙倍11F 03/15 19:40
kamichu: 還蠻有道理的,intel也是拖了超長時間12F 03/15 19:45
splong: 轉移焦點 所謂的漏洞只是笑話啊13F 03/15 19:55
a2935373: 刷加料BIOS那個真的是經典14F 03/15 19:55
pcfox: 沒空到不爽了?15F 03/15 19:57
howbanghowme: 好奇intel取得權限後 就不會被植入嗎?16F 03/15 20:00
walelile: "儘管相關漏洞需要管理權限才能開採"...17F 03/15 20:04
iuytjhgf: 收錢該辦事囉~~~~~18F 03/15 20:07
WTFisthatlan: 到底是收多少錢19F 03/15 20:08
henry46277: 覺得制度 不會好好提出來 大家來討論? 一定要搞這種抹黑栽贓的手法才高興嗎?
然後還提不出個所以然20F 03/15 20:11
nucleargod: 若有問題的是 ASMedia 的晶片,那 intel CPU 照中啊23F 03/15 20:12
a2935373: 是說所謂的安全專家驗證是不是應該具名以示負責?24F 03/15 20:12
nucleargod: 畢竟就不是 CPU 的問題25F 03/15 20:13
giancarlo82: 應該要看看CTS這家公司裡面有沒有intel海法團隊的前員工在裡面....26F 03/15 20:13
nucleargod: 也不需要員工在裡面吧,有錢在裡面就可以了28F 03/15 20:15
a2935373: Asmedia那個所謂的後門也是要管理權限29F 03/15 20:15
CactusFlower: 反正羊羊們只看標題30F 03/15 20:16
goldflower: 人只要自殺就會死 所以人的設計有問題 打手就說嘛31F 03/15 20:19
a1379: 這公司再凹啊 被AMD玩快三年 就你手法最粗糙32F 03/15 20:25
narihira2000: 這種聳動標題只要有一個投資人信了 intel就成功了33F 03/15 20:25
Shauter: 你們看打手這兩天轉的幾篇 還是有人信阿 (攤手)
這是全世界的智力測驗34F 03/15 20:28
a2935373: 不過說真的啦 刷BIOS這種幹話虧他們敢講耶36F 03/15 20:30
catclan: 還在唬爛37F 03/15 20:37
saimeitetsu: 跟三星寫手有87%像38F 03/15 20:39
a5980810: 崩39F 03/15 20:40
gkkkkkkkkkkk: 需要管理權限.....40F 03/15 20:42
geminitw: 有root 还要燒bios 然後重開机?白痴41F 03/15 21:01
elvis222: 硬要黑 真的難看42F 03/15 21:01
legendrl: 急成這樣,炒短線的意圖太明顯了43F 03/15 21:04
jinshun: intel都是拖到等執行長先把股票倒光才揭露漏洞 這才是行業標準 你以色列來的啥咖阿
需要管理權限才能駭 幹嘛不乾脆叫我路上偷員工證刷進去愛搞啥就搞啥? 連冰箱點心都能偷吃耶 超廢44F 03/15 21:08
reaturn: 先講一下刷加料BIOS是誰的責任?48F 03/15 21:18
twosheep0603: 不只羊只看標題啊 還有炒股票的也只看得懂標題49F 03/15 21:23
will3509111: 揭露漏洞的講法有道理,廠商沒壓力根本不理(你看meltdown放了多久才打patch)50F 03/15 21:31
kira925: 不公布細節的作法是讓第三方無法核實 只能聽他片面他只是在圓他的謊還圓的很爛而已52F 03/15 21:32
a1379: 反正空到了就是空到了 現在股價跟屎一樣 機構大勝利這種爛招都能騙到散戶54F 03/15 21:37
falcon11: 雖然很機歪 可是你拿他有什麼辦法?
資本小就是整天被搞而已56F 03/15 21:40
wonderverge: 「你這個鎖看起來有漏洞,借我鑰匙開看看就知道。」早年I皇找anandtech,現在換找資安實驗室惹58F 03/15 21:43
horking: 教主之前有開示過了><60F 03/15 22:43
pxhome: 現在南橋有漏洞,現在發現AMD的外包商出包,難到你想回頭用...?61F 03/15 22:57
guogu: 儘管相關漏洞需要管理權限才能開採
馬的智障有管理權限還要搞這個?
這就像有人說,你的布丁放在家不安全,別人有鑰匙他就可以偷看你吃哪一家的布丁偷看63F 03/15 23:10
pxhome: 就有人用Windows刷Bios,結果Bios中毒...UEFI在OS下可直接進入,使用很方便的67F 03/15 23:12
guogu: 別人真的有我家的鑰匙該檢討的是鑰匙怎麼留出去的吧69F 03/15 23:14
pxhome: obov的鄰居習慣把鑰匙放家門口的地毯下70F 03/15 23:15
birdy590: 現在的 UEFI BIOS 直接用裡面功能更新不就得了?71F 03/15 23:16
guogu: 結果他跟你說你看看布丁即使是放在家也要鎖起來啊72F 03/15 23:16
birdy590: 都厲害到可以自己上網站拉 image 下來燒了~73F 03/15 23:16
washltz: Linus都開罵了,暗罵他們婊子 垃圾74F 03/15 23:16
pxhome: 阿就有人拿去改SLI,OEM之類的資料騙授權,改過的不能在UEFI裡面刷75F 03/15 23:19
birdy590: 他這種改過有漏洞的一樣刷不過不是嗎? 要用強制的77F 03/15 23:27
nimaj: 那種取得ROOT的方式 INTEL一樣會中招啦
都有你家的鑰匙的 我要進你家還不容易?
還是INTEL特別強 有鑰匙還打不開? =.=78F 03/15 23:35
birdy590: 最好笑的地方是... 已經拿到root了還要漏洞幹嘛?81F 03/15 23:36
nimaj: 沒有必要只拿AMD說嘴82F 03/15 23:36
birdy590: 高興的話想埋幾個洞就埋幾個83F 03/15 23:37
nimaj: 換個說法了 有人發布用球棒砸AMD的電腦一定會壞
所以INTEL的用球棒砸不壞?? 不是這樣的吧 =.=
換個說法好了84F 03/15 23:42
b325019: 我都有root了我要你漏洞幹嘛護航的可以有點腦嗎ww還是說有什麼是root拿不到非漏洞不可的嗎
不過上次Meltdown還真的可以拿到root拿不到的資料欸跨vm也拿給你看w87F 03/15 23:53
felaray: 不知道收了多少&空了多少91F 03/16 01:05
NgJovi: 搞笑R92F 03/16 01:54
AMDMARSHAL: AMD有漏洞還怕人說喔==
AMD尊爵非凡==93F 03/16 02:10
nimaj: 尊爵不凡應該打死都輪不到AMD...95F 03/16 02:29
yocpswang: WTF96F 03/16 06:53
tactics2100: 那是因為他們揭露的漏洞太廢 不在修正前揭露根本沒新聞價值97F 03/16 08:25
apflake: 安全漏洞是真的,只要你有伊森杭特的身手,去刷FBI總部電腦的BIOS一定駭得進去99F 03/16 08:42
ken720331: 哈哈哈101F 03/16 08:55
dkchronos: 都有權限了還要專漏洞?102F 03/16 09:25
b127699315: 此漏洞需要管理者權限才會被入侵,這樣你跟我說是漏洞?????
媽的,到底是收intel多少錢阿,吃相難看的認證公司,一點都不公證,明顯想搞AMD股價103F 03/16 12:08
birdy590: 那個透過 driver 可以存取到其它 VM 的算是個洞107F 03/16 13:41

--