CTS Labs發表公開信說明為何要在通報一天內徑行公佈漏洞資訊。

圖片來源: 

CTS Labs

以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露程序。

CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解釋讓許多人改變了態度。

Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一個又一個的安全漏洞,於是決定將它們公諸於世。

對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。

問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。

於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避免使用者承擔安全風險。

事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。


Advertisement

更多 iThome相關內容