顯示廣告
隱藏 ✕
※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2018-03-17 11:53:54
看板 PC_Shopping
作者 hn9480412 (ilinker)
標題 [情報] 通報AMD不到一天就公布漏洞資訊惹爭議,C
時間 Thu Mar 15 19:31:32 2018


通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題


文/陳曉莉 | 2018-03-15發表


以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距
離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。

CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。


Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。


對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。


問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。


於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。


事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。


https://www.ithome.com.tw/news/121826
通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題 | iThome
[圖]
CTS Labs認為現行的「責任揭露」精神有嚴重的問題,漏洞在修補期間由供應商決定是否要通知用戶,大多數供應商都在修補完畢後才告知,在修補期間用戶將處於安全風險而不知情,最好的做法是同一天通報業者及告知用戶,直到漏洞被修補之後再公布技術細節。 ...

 

還真敢講,呵呵

--
 作者  kech9111 (...)                                         看板  Gossiping
 標題  [問卦] 有沒有亞洲只剩台灣沒有知名樂園的八卦?                          
 時間  Wed Dec 24 19:18:26 2014                                              
ineedadvice: 你把5566放在哪12/24 19:19
ineedadvice: ......看錯
KYALUCARD: ....要介紹眼鏡行嗎?12/24 19:19

--
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章代碼(AID): #1QgbcREL (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1521113499.A.395.html
kira925     : 工三小1F 03/15 19:32
Shauter     : 這群傢伙講露的東西 一方面是取得權限後脫褲子放屁2F 03/15 19:33
tomsawyer   : wtf intel打手?3F 03/15 19:34
Shauter     : 一方面又公然無視責任揭露精神 還有低能兒上當4F 03/15 19:34
tomsawyer   : 然後漏洞不是要手刷特製bios5F 03/15 19:34
Shauter     : 更好笑ASMedia的漏洞 你等等叫INTEL有種都原生6F 03/15 19:35
tomsawyer   : 不然就是要有root權限才能(執行漏洞)破壞?7F 03/15 19:35
JoyRex      : 人家有錢拿8F 03/15 19:35
Shauter     : ASMedia一直都是大家最好用的第三方解決方案9F 03/15 19:35
labbat      : 不是我醉了,而是全世界的人才醉了10F 03/15 19:36
yafx4200p   : intel付你多少錢 我超微付你雙倍11F 03/15 19:40
kamichu     : 還蠻有道理的,intel也是拖了超長時間12F 03/15 19:45
splong      : 轉移焦點 所謂的漏洞只是笑話啊13F 03/15 19:55
a2935373    : 刷加料BIOS那個真的是經典14F 03/15 19:55
pcfox       : 沒空到不爽了?15F 03/15 19:57
howbanghowme: 好奇intel取得權限後 就不會被植入嗎?16F 03/15 20:00
walelile    : "儘管相關漏洞需要管理權限才能開採"...17F 03/15 20:04
iuytjhgf    : 收錢該辦事囉~~~~~18F 03/15 20:07
WTFisthatlan: 到底是收多少錢19F 03/15 20:08
henry46277  : 覺得制度 不會好好提出來 大家來討論? 一定要搞這20F 03/15 20:11
henry46277  : 種抹黑栽贓的手法才高興嗎?
henry46277  : 然後還提不出個所以然
nucleargod  : 若有問題的是 ASMedia 的晶片,那 intel CPU 照中啊23F 03/15 20:12
a2935373    : 是說所謂的安全專家驗證是不是應該具名以示負責?24F 03/15 20:12
nucleargod  : 畢竟就不是 CPU 的問題25F 03/15 20:13
giancarlo82 : 應該要看看CTS這家公司裡面有沒有intel海法團隊的前26F 03/15 20:13
giancarlo82 : 員工在裡面....
nucleargod  : 也不需要員工在裡面吧,有錢在裡面就可以了28F 03/15 20:15
a2935373    : Asmedia那個所謂的後門也是要管理權限29F 03/15 20:15
CactusFlower: 反正羊羊們只看標題30F 03/15 20:16
goldflower  : 人只要自殺就會死 所以人的設計有問題 打手就說嘛31F 03/15 20:19
a1379       : 這公司再凹啊 被AMD玩快三年 就你手法最粗糙32F 03/15 20:25
narihira2000: 這種聳動標題只要有一個投資人信了 intel就成功了33F 03/15 20:25
Shauter     : 你們看打手這兩天轉的幾篇 還是有人信阿 (攤手)34F 03/15 20:28
Shauter     : 這是全世界的智力測驗
a2935373    : 不過說真的啦 刷BIOS這種幹話虧他們敢講耶36F 03/15 20:30
catclan     : 還在唬爛37F 03/15 20:37
saimeitetsu : 跟三星寫手有87%像38F 03/15 20:39
a5980810    : 崩39F 03/15 20:40
gkkkkkkkkkkk: 需要管理權限.....40F 03/15 20:42
geminitw    : 有root 还要燒bios 然後重開机?白痴41F 03/15 21:01
elvis222    : 硬要黑 真的難看42F 03/15 21:01
legendrl    : 急成這樣,炒短線的意圖太明顯了43F 03/15 21:04
jinshun     : intel都是拖到等執行長先把股票倒光才揭露漏洞 這才44F 03/15 21:08
jinshun     : 是行業標準 你以色列來的啥咖阿
jinshun     : 需要管理權限才能駭 幹嘛不乾脆叫我路上偷員工證刷
jinshun     : 進去愛搞啥就搞啥? 連冰箱點心都能偷吃耶 超廢
reaturn     : 先講一下刷加料BIOS是誰的責任?48F 03/15 21:18
twosheep0603: 不只羊只看標題啊 還有炒股票的也只看得懂標題49F 03/15 21:23
will3509111 : 揭露漏洞的講法有道理,廠商沒壓力根本不理(你看mel50F 03/15 21:31
will3509111 : tdown放了多久才打patch)
kira925     : 不公布細節的作法是讓第三方無法核實 只能聽他片面52F 03/15 21:32
kira925     : 他只是在圓他的謊還圓的很爛而已
a1379       : 反正空到了就是空到了 現在股價跟屎一樣 機構大勝利54F 03/15 21:37
a1379       : 這種爛招都能騙到散戶
falcon11    : 雖然很機歪 可是你拿他有什麼辦法?56F 03/15 21:40
falcon11    : 資本小就是整天被搞而已
wonderverge : 「你這個鎖看起來有漏洞,借我鑰匙開看看就知道。」58F 03/15 21:43
wonderverge : 早年I皇找anandtech,現在換找資安實驗室惹
horking     : 教主之前有開示過了><60F 03/15 22:43
pxhome      : 現在南橋有漏洞,現在發現AMD的外包商出包,難到你61F 03/15 22:57
pxhome      : 想回頭用...?
guogu       : 儘管相關漏洞需要管理權限才能開採63F 03/15 23:10
guogu       : 馬的智障有管理權限還要搞這個?
guogu       : 這就像有人說,你的布丁放在家不安全,別人有鑰匙
guogu       : 他就可以偷看你吃哪一家的布丁偷看
pxhome      : 就有人用Windows刷Bios,結果Bios中毒...UEFI在OS下67F 03/15 23:12
pxhome      : 可直接進入,使用很方便的
guogu       : 別人真的有我家的鑰匙該檢討的是鑰匙怎麼留出去的吧69F 03/15 23:14
pxhome      : obov的鄰居習慣把鑰匙放家門口的地毯下70F 03/15 23:15
birdy590    : 現在的 UEFI BIOS 直接用裡面功能更新不就得了?71F 03/15 23:16
guogu       : 結果他跟你說你看看布丁即使是放在家也要鎖起來啊72F 03/15 23:16
birdy590    : 都厲害到可以自己上網站拉 image 下來燒了~73F 03/15 23:16
washltz     : Linus都開罵了,暗罵他們婊子 垃圾74F 03/15 23:16
pxhome      : 阿就有人拿去改SLI,OEM之類的資料騙授權,改過的不75F 03/15 23:19
pxhome      : 能在UEFI裡面刷
birdy590    : 他這種改過有漏洞的一樣刷不過不是嗎? 要用強制的77F 03/15 23:27
nimaj       : 那種取得ROOT的方式 INTEL一樣會中招啦78F 03/15 23:35
nimaj       : 都有你家的鑰匙的 我要進你家還不容易?
nimaj       : 還是INTEL特別強 有鑰匙還打不開? =.=
birdy590    : 最好笑的地方是... 已經拿到root了還要漏洞幹嘛?81F 03/15 23:36
nimaj       : 沒有必要只拿AMD說嘴82F 03/15 23:36
birdy590    : 高興的話想埋幾個洞就埋幾個83F 03/15 23:37
nimaj       : 換個說法了 有人發布用球棒砸AMD的電腦一定會壞84F 03/15 23:42
nimaj       : 所以INTEL的用球棒砸不壞?? 不是這樣的吧 =.=
nimaj       : 換個說法好了
b325019     : 我都有root了我要你漏洞幹嘛護航的可以有點腦嗎ww87F 03/15 23:53
b325019     : 還是說有什麼是root拿不到非漏洞不可的嗎
b325019     : 不過上次Meltdown還真的可以拿到root拿不到的資料欸
b325019     : 跨vm也拿給你看w
felaray     : 不知道收了多少&空了多少91F 03/16 01:05
NgJovi      : 搞笑R92F 03/16 01:54
AMDMARSHAL  : AMD有漏洞還怕人說喔==93F 03/16 02:10
AMDMARSHAL  : AMD尊爵非凡==
nimaj       : 尊爵不凡應該打死都輪不到AMD...95F 03/16 02:29
yocpswang   : WTF96F 03/16 06:53
tactics2100 : 那是因為他們揭露的漏洞太廢 不在修正前揭露根本沒97F 03/16 08:25
tactics2100 : 新聞價值
apflake     : 安全漏洞是真的,只要你有伊森杭特的身手,去刷FBI總99F 03/16 08:42
apflake     : 部電腦的BIOS一定駭得進去
ken720331   : 哈哈哈101F 03/16 08:55
dkchronos   : 都有權限了還要專漏洞?102F 03/16 09:25
b127699315  : 此漏洞需要管理者權限才會被入侵,這樣你跟我說是漏103F 03/16 12:08
b127699315  : 洞?????
b127699315  : 媽的,到底是收intel多少錢阿,吃相難看的認證公司
b127699315  : ,一點都不公證,明顯想搞AMD股價
birdy590    : 那個透過 driver 可以存取到其它 VM 的算是個洞107F 03/16 13:41

--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 195 
作者 hn9480412 的最新發文:
點此顯示更多發文記錄
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇