看板 PC_Shopping作者 hn9480412 (ilinker)標題 [情報] 通報AMD不到一天就公布漏洞資訊惹爭議,C時間 Thu Mar 15 19:31:32 2018
通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題
文/陳曉莉 | 2018-03-15發表
以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距
離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。
CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。
Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。
對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。
問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。
於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。
事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。
https://www.ithome.com.tw/news/121826
還真敢講,呵呵
--
--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章代碼(AID): #1QgbcREL (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1521113499.A.395.html
推 Shauter: 這群傢伙講露的東西 一方面是取得權限後脫褲子放屁2F 03/15 19:33
→ Shauter: 一方面又公然無視責任揭露精神 還有低能兒上當4F 03/15 19:34
→ Shauter: 更好笑ASMedia的漏洞 你等等叫INTEL有種都原生6F 03/15 19:35
→ tomsawyer: 不然就是要有root權限才能(執行漏洞)破壞?7F 03/15 19:35
→ Shauter: ASMedia一直都是大家最好用的第三方解決方案9F 03/15 19:35
推 labbat: 不是我醉了,而是全世界的人才醉了10F 03/15 19:36
推 yafx4200p: intel付你多少錢 我超微付你雙倍11F 03/15 19:40
推 kamichu: 還蠻有道理的,intel也是拖了超長時間12F 03/15 19:45
→ splong: 轉移焦點 所謂的漏洞只是笑話啊13F 03/15 19:55
→ a2935373: 刷加料BIOS那個真的是經典14F 03/15 19:55
噓 pcfox: 沒空到不爽了?15F 03/15 19:57
→ walelile: "儘管相關漏洞需要管理權限才能開採"...17F 03/15 20:04
推 henry46277: 覺得制度 不會好好提出來 大家來討論? 一定要搞這種抹黑栽贓的手法才高興嗎?
然後還提不出個所以然20F 03/15 20:11
→ nucleargod: 若有問題的是 ASMedia 的晶片,那 intel CPU 照中啊23F 03/15 20:12
推 a2935373: 是說所謂的安全專家驗證是不是應該具名以示負責?24F 03/15 20:12
推 giancarlo82: 應該要看看CTS這家公司裡面有沒有intel海法團隊的前員工在裡面....26F 03/15 20:13
推 a2935373: Asmedia那個所謂的後門也是要管理權限29F 03/15 20:15
推 goldflower: 人只要自殺就會死 所以人的設計有問題 打手就說嘛31F 03/15 20:19
噓 a1379: 這公司再凹啊 被AMD玩快三年 就你手法最粗糙32F 03/15 20:25
推 Shauter: 你們看打手這兩天轉的幾篇 還是有人信阿 (攤手)
這是全世界的智力測驗34F 03/15 20:28
→ a2935373: 不過說真的啦 刷BIOS這種幹話虧他們敢講耶36F 03/15 20:30
推 geminitw: 有root 还要燒bios 然後重開机?白痴41F 03/15 21:01
→ legendrl: 急成這樣,炒短線的意圖太明顯了43F 03/15 21:04
噓 jinshun: intel都是拖到等執行長先把股票倒光才揭露漏洞 這才是行業標準 你以色列來的啥咖阿
需要管理權限才能駭 幹嘛不乾脆叫我路上偷員工證刷進去愛搞啥就搞啥? 連冰箱點心都能偷吃耶 超廢44F 03/15 21:08
→ reaturn: 先講一下刷加料BIOS是誰的責任?48F 03/15 21:18
推 will3509111: 揭露漏洞的講法有道理,廠商沒壓力根本不理(你看meltdown放了多久才打patch)50F 03/15 21:31
噓 kira925: 不公布細節的作法是讓第三方無法核實 只能聽他片面他只是在圓他的謊還圓的很爛而已52F 03/15 21:32
噓 a1379: 反正空到了就是空到了 現在股價跟屎一樣 機構大勝利這種爛招都能騙到散戶54F 03/15 21:37
→ falcon11: 雖然很機歪 可是你拿他有什麼辦法?
資本小就是整天被搞而已56F 03/15 21:40
噓 wonderverge: 「你這個鎖看起來有漏洞,借我鑰匙開看看就知道。」早年I皇找anandtech,現在換找資安實驗室惹58F 03/15 21:43
推 horking: 教主之前有開示過了><60F 03/15 22:43
噓 pxhome: 現在南橋有漏洞,現在發現AMD的外包商出包,難到你想回頭用...?61F 03/15 22:57
推 guogu: 儘管相關漏洞需要管理權限才能開採
馬的智障有管理權限還要搞這個?
這就像有人說,你的布丁放在家不安全,別人有鑰匙他就可以偷看你吃哪一家的布丁偷看63F 03/15 23:10
推 pxhome: 就有人用Windows刷Bios,結果Bios中毒...UEFI在OS下可直接進入,使用很方便的67F 03/15 23:12
→ guogu: 別人真的有我家的鑰匙該檢討的是鑰匙怎麼留出去的吧69F 03/15 23:14
推 pxhome: obov的鄰居習慣把鑰匙放家門口的地毯下70F 03/15 23:15
推 birdy590: 現在的 UEFI BIOS 直接用裡面功能更新不就得了?71F 03/15 23:16
→ guogu: 結果他跟你說你看看布丁即使是放在家也要鎖起來啊72F 03/15 23:16
→ birdy590: 都厲害到可以自己上網站拉 image 下來燒了~73F 03/15 23:16
噓 washltz: Linus都開罵了,暗罵他們婊子 垃圾74F 03/15 23:16
推 pxhome: 阿就有人拿去改SLI,OEM之類的資料騙授權,改過的不能在UEFI裡面刷75F 03/15 23:19
→ birdy590: 他這種改過有漏洞的一樣刷不過不是嗎? 要用強制的77F 03/15 23:27
→ nimaj: 那種取得ROOT的方式 INTEL一樣會中招啦
都有你家的鑰匙的 我要進你家還不容易?
還是INTEL特別強 有鑰匙還打不開? =.=78F 03/15 23:35
→ birdy590: 最好笑的地方是... 已經拿到root了還要漏洞幹嘛?81F 03/15 23:36
→ nimaj: 沒有必要只拿AMD說嘴82F 03/15 23:36
→ birdy590: 高興的話想埋幾個洞就埋幾個83F 03/15 23:37
→ nimaj: 換個說法了 有人發布用球棒砸AMD的電腦一定會壞
所以INTEL的用球棒砸不壞?? 不是這樣的吧 =.=
換個說法好了84F 03/15 23:42
推 b325019: 我都有root了我要你漏洞幹嘛護航的可以有點腦嗎ww還是說有什麼是root拿不到非漏洞不可的嗎
不過上次Meltdown還真的可以拿到root拿不到的資料欸跨vm也拿給你看w87F 03/15 23:53
噓 felaray: 不知道收了多少&空了多少91F 03/16 01:05
→ AMDMARSHAL: AMD有漏洞還怕人說喔==
AMD尊爵非凡==93F 03/16 02:10
→ nimaj: 尊爵不凡應該打死都輪不到AMD...95F 03/16 02:29
噓 tactics2100: 那是因為他們揭露的漏洞太廢 不在修正前揭露根本沒新聞價值97F 03/16 08:25
→ apflake: 安全漏洞是真的,只要你有伊森杭特的身手,去刷FBI總部電腦的BIOS一定駭得進去99F 03/16 08:42
推 b127699315: 此漏洞需要管理者權限才會被入侵,這樣你跟我說是漏洞?????
媽的,到底是收intel多少錢阿,吃相難看的認證公司,一點都不公證,明顯想搞AMD股價103F 03/16 12:08
推 birdy590: 那個透過 driver 可以存取到其它 VM 的算是個洞107F 03/16 13:41
--