在美國政府之前，英特爾提前告知中國巨頭企業(yè)關(guān)于CPU漏洞的信息

在告知美國政府之前，英特爾曾警告中國企業(yè)有關(guān)臭名昭著的Meltdown和Spectre處理器漏洞問題。

據(jù)華爾街日報報道，并引用了一些不知名的知情人士和一些相關(guān)公司的說法，包括聯(lián)想和阿里巴巴在內(nèi)的一些大客戶，在美國政府和規(guī)模較小的云計算供應商之前，就已經(jīng)了解到一些設(shè)計的缺陷。

這一披露時間表提出了一種可能性，即在美國政府和公眾知曉英特爾CPU漏洞之前，中國政府的某些部門可能已經(jīng)了解了這些信息。

在被其他安全研究團隊獨立發(fā)現(xiàn)并報告之前，谷歌Project Zero security團隊的一名成員首先發(fā)現(xiàn)了Meltdown和Spectre芯片的缺陷。據(jù)《華爾街日報》報道：“英特爾原本計劃于1月9日將這一發(fā)現(xiàn)公之于眾……但在1月3日這一消息廣為人知之后，它提前了時間。就在一天前，英國網(wǎng)站The Register報道了這些漏洞。”

英特爾和谷歌安全安全人員以及其他發(fā)現(xiàn)處理器缺陷的團隊致力于解決這個漏洞，當然還有PC制造商尤其是大型的OEM廠商以及云計算公司，包括聯(lián)想、微軟、亞馬遜和ARM。

華爾街日報沒有提到何時向聯(lián)想等公司發(fā)出通知，但一份泄露給電腦制造商的備忘錄顯示，11月29日，至少有一群尚未命名的oem廠商的問題已經(jīng)通過一份保密協(xié)議進行，如之前報道的那樣。1月3日，聯(lián)想迅速推出了一項聲明，向客戶提供有關(guān)漏洞的建議，原因是該公司“在與行業(yè)處理器和操作系統(tǒng)合作伙伴的合作之前”完成了這項工作。

據(jù)一位知情人士透露，中國云服務的最大提供商阿里巴巴集團也提前收到通知。阿里巴巴的一位發(fā)言人向《華爾街日報》透露，該公司與中國政府分享威脅情報的言論是“純屬猜測和毫無根據(jù)的”。

聯(lián)想表示，英特爾的信息受到保密協(xié)議的保護。

負責美國CERT的國土安全部的一名官員表示，他們只是從早期的新聞報道中了解到處理器的脆弱性。“我們當然希望得到通知，”他們補充說。

白宮網(wǎng)絡安全高級官員Rob Joyce公開宣稱，國家安全局也沒有意識到所謂的Meltdown和Spectre的缺陷。

因為他們有早期預警，微軟、谷歌和亞馬遜在Meltdown 和 Spectre漏洞公開之前，就能夠為他們的云計算客戶推出保護措施。

這一點很重要，因為Meltdown——它允許惡意軟件從英特爾的計算機內(nèi)存中提取密碼和其他秘密——很容易被利用，而云計算環(huán)境在允許客戶共享服務器的情況下幾乎完全暴露。有人在云盒上租了一臺虛擬機，通過Meltdown設(shè)計的缺陷，可以窺探另一個人使用同一臺主機服務器。

小型的云服務提供商則在玩“追趕”，三星電子旗下的美國云服務提供商Joyent，可能是受益于警告的企業(yè)之一，但在公開披露前未被包括在此前公布的名單中。

該公司首席技術(shù)官Bryan Cantrill告訴《華爾街日報》：“其他人有六個月領(lǐng)先的時間，我們依然在爭搶。”他補充道，“我不明白為什么CERT不會是你的第一站。”

El Reg要求英特爾就其披露政策發(fā)表評論。在一份聲明中，Chipzilla告訴我們，它不能告知所有那些計劃提前進行預警的人，包括美國政府，因為在1月9日的聲明之前，有關(guān)漏洞的消息已經(jīng)爆發(fā)了：

Google Project Zero團隊以及包括英特爾在內(nèi)的一些廠商都遵循了負責任和可協(xié)調(diào)信息披露的最佳做法。標準和完善的初始信息披露實踐是為了更好地與行業(yè)參與者一起開發(fā)解決方案，并在發(fā)布前部署修復程序。在這起事件中，有關(guān)這一漏洞的新聞報道是在行業(yè)聯(lián)盟的公開披露日期之前公布的，當時英特爾立即與美國政府及其他機構(gòu)進行了接觸。

美國CERT是一個安全信息交換機構(gòu)，該機構(gòu)最初曾建議，只有在修改其位置之前，才可以通過更換未受影響的處理器來解決Spectre的缺陷，并建議應用供應商提供的補丁提供足夠的緩解措施。

El Reg請求美國CERT公司在Meltdown和Spectre漏洞的情況下公布信息披露的過程，但還沒有收到回復。