※ 本文為 terievv 轉寄自 ptt.cc 更新時間: 2018-03-17 11:53:54
看板 PC_Shopping
作者 標題 [情報] 通報AMD不到一天就公布漏洞資訊惹爭議,C
時間 Thu Mar 15 19:31:32 2018
通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題
文/陳曉莉 | 2018-03-15發表
以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距
離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia
Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露
程序。
CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。
揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解
釋讓許多人改變了態度。
Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。
現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依
然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一
個又一個的安全漏洞,於是決定將它們公諸於世。
對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。
問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的
期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。
問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。
都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。
第二個問題是倘若供應商未能及時修補漏洞,而研究人員公布了漏洞細節與攻擊程式,則
將危害使用者安全,等於是將供應商的過失轉嫁到用戶身上。
於是Luk-Zilberman認為更好的方式是在同一天通知供應商與大眾,警告漏洞可能帶來的
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。
影響,但直到漏洞被修補之後再公布技術細節,讓供應商承受來自使用者的壓力,也能避
免使用者承擔安全風險。
事實上,CTS Labs所公開的漏洞白皮書中並未涉及技術細節,但提交給AMD的報告中卻有
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。
詳細的資訊,此外,已有不少安全專家驗證CTS Labs所提出的是有效的漏洞,儘管相關漏
洞需要管理權限才能開採,可一旦遭到開採,就能夠被植入可長久存在的惡意程式。
https://www.ithome.com.tw/news/121826
通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題 | iThome
![[圖]]()
CTS Labs認為現行的「責任揭露」精神有嚴重的問題,漏洞在修補期間由供應商決定是否要通知用戶,大多數供應商都在修補完畢後才告知,在修補期間用戶將處於安全風險而不知情,最好的做法是同一天通報業者及告知用戶,直到漏洞被修補之後再公布技術細節。 ...
![[圖]](https://s4.itho.me/sites/default/files/field/image/cts-_labs.jpg)
還真敢講,呵呵
--
作者 kech9111 (...) 看板 Gossiping
標題 [問卦] 有沒有亞洲只剩台灣沒有知名樂園的八卦?
時間 Wed Dec 24 19:18:26 2014
噓 : 你把5566放在哪12/24 19:19
→ : ......看錯
→ : ......看錯
推 : ....要介紹眼鏡行嗎?12/24 19:19
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 122.116.4.227
※ 文章代碼(AID): #1QgbcREL (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1521113499.A.395.html
噓 : 工三小1F 03/15 19:32
推 : 這群傢伙講露的東西 一方面是取得權限後脫褲子放屁2F 03/15 19:33
噓 : wtf intel打手?3F 03/15 19:34
→ : 一方面又公然無視責任揭露精神 還有低能兒上當4F 03/15 19:34
→ : 然後漏洞不是要手刷特製bios5F 03/15 19:34
→ : 更好笑ASMedia的漏洞 你等等叫INTEL有種都原生6F 03/15 19:35
→ : 不然就是要有root權限才能(執行漏洞)破壞?7F 03/15 19:35
→ : 人家有錢拿8F 03/15 19:35
→ : ASMedia一直都是大家最好用的第三方解決方案9F 03/15 19:35
推 : 不是我醉了,而是全世界的人才醉了10F 03/15 19:36
推 : intel付你多少錢 我超微付你雙倍11F 03/15 19:40
推 : 還蠻有道理的,intel也是拖了超長時間12F 03/15 19:45
→ : 轉移焦點 所謂的漏洞只是笑話啊13F 03/15 19:55
→ : 刷加料BIOS那個真的是經典14F 03/15 19:55
噓 : 沒空到不爽了?15F 03/15 19:57
推 : 好奇intel取得權限後 就不會被植入嗎?16F 03/15 20:00
→ : "儘管相關漏洞需要管理權限才能開採"...17F 03/15 20:04
推 : 收錢該辦事囉~~~~~18F 03/15 20:07
推 : 到底是收多少錢19F 03/15 20:08
推 : 覺得制度 不會好好提出來 大家來討論? 一定要搞這20F 03/15 20:11
→ : 種抹黑栽贓的手法才高興嗎?
→ : 然後還提不出個所以然
→ : 種抹黑栽贓的手法才高興嗎?
→ : 然後還提不出個所以然
→ : 若有問題的是 ASMedia 的晶片,那 intel CPU 照中啊23F 03/15 20:12
推 : 是說所謂的安全專家驗證是不是應該具名以示負責?24F 03/15 20:12
→ : 畢竟就不是 CPU 的問題25F 03/15 20:13
推 : 應該要看看CTS這家公司裡面有沒有intel海法團隊的前26F 03/15 20:13
→ : 員工在裡面....
→ : 員工在裡面....
→ : 也不需要員工在裡面吧,有錢在裡面就可以了28F 03/15 20:15
推 : Asmedia那個所謂的後門也是要管理權限29F 03/15 20:15
→ : 反正羊羊們只看標題30F 03/15 20:16
推 : 人只要自殺就會死 所以人的設計有問題 打手就說嘛31F 03/15 20:19
噓 : 這公司再凹啊 被AMD玩快三年 就你手法最粗糙32F 03/15 20:25
→ : 這種聳動標題只要有一個投資人信了 intel就成功了33F 03/15 20:25
推 : 你們看打手這兩天轉的幾篇 還是有人信阿 (攤手)34F 03/15 20:28
→ : 這是全世界的智力測驗
→ : 這是全世界的智力測驗
→ : 不過說真的啦 刷BIOS這種幹話虧他們敢講耶36F 03/15 20:30
推 : 還在唬爛37F 03/15 20:37
噓 : 跟三星寫手有87%像38F 03/15 20:39
噓 : 崩39F 03/15 20:40
→ : 需要管理權限.....40F 03/15 20:42
推 : 有root 还要燒bios 然後重開机?白痴41F 03/15 21:01
噓 : 硬要黑 真的難看42F 03/15 21:01
→ : 急成這樣,炒短線的意圖太明顯了43F 03/15 21:04
噓 : intel都是拖到等執行長先把股票倒光才揭露漏洞 這才44F 03/15 21:08
→ : 是行業標準 你以色列來的啥咖阿
噓 : 需要管理權限才能駭 幹嘛不乾脆叫我路上偷員工證刷
→ : 進去愛搞啥就搞啥? 連冰箱點心都能偷吃耶 超廢
→ : 是行業標準 你以色列來的啥咖阿
噓 : 需要管理權限才能駭 幹嘛不乾脆叫我路上偷員工證刷
→ : 進去愛搞啥就搞啥? 連冰箱點心都能偷吃耶 超廢
→ : 先講一下刷加料BIOS是誰的責任?48F 03/15 21:18
推 : 不只羊只看標題啊 還有炒股票的也只看得懂標題49F 03/15 21:23
推 : 揭露漏洞的講法有道理,廠商沒壓力根本不理(你看mel50F 03/15 21:31
→ : tdown放了多久才打patch)
→ : tdown放了多久才打patch)
噓 : 不公布細節的作法是讓第三方無法核實 只能聽他片面52F 03/15 21:32
→ : 他只是在圓他的謊還圓的很爛而已
→ : 他只是在圓他的謊還圓的很爛而已
噓 : 反正空到了就是空到了 現在股價跟屎一樣 機構大勝利54F 03/15 21:37
→ : 這種爛招都能騙到散戶
→ : 這種爛招都能騙到散戶
→ : 雖然很機歪 可是你拿他有什麼辦法?56F 03/15 21:40
→ : 資本小就是整天被搞而已
→ : 資本小就是整天被搞而已
噓 : 「你這個鎖看起來有漏洞,借我鑰匙開看看就知道。」58F 03/15 21:43
→ : 早年I皇找anandtech,現在換找資安實驗室惹
→ : 早年I皇找anandtech,現在換找資安實驗室惹
推 : 教主之前有開示過了><60F 03/15 22:43
噓 : 現在南橋有漏洞,現在發現AMD的外包商出包,難到你61F 03/15 22:57
→ : 想回頭用...?
→ : 想回頭用...?
推 : 儘管相關漏洞需要管理權限才能開採63F 03/15 23:10
→ : 馬的智障有管理權限還要搞這個?
→ : 這就像有人說,你的布丁放在家不安全,別人有鑰匙
→ : 他就可以偷看你吃哪一家的布丁偷看
→ : 馬的智障有管理權限還要搞這個?
→ : 這就像有人說,你的布丁放在家不安全,別人有鑰匙
→ : 他就可以偷看你吃哪一家的布丁偷看
推 : 就有人用Windows刷Bios,結果Bios中毒...UEFI在OS下67F 03/15 23:12
→ : 可直接進入,使用很方便的
→ : 可直接進入,使用很方便的
→ : 別人真的有我家的鑰匙該檢討的是鑰匙怎麼留出去的吧69F 03/15 23:14
推 : obov的鄰居習慣把鑰匙放家門口的地毯下70F 03/15 23:15
推 : 現在的 UEFI BIOS 直接用裡面功能更新不就得了?71F 03/15 23:16
→ : 結果他跟你說你看看布丁即使是放在家也要鎖起來啊72F 03/15 23:16
→ : 都厲害到可以自己上網站拉 image 下來燒了~73F 03/15 23:16
噓 : Linus都開罵了,暗罵他們婊子 垃圾74F 03/15 23:16
推 : 阿就有人拿去改SLI,OEM之類的資料騙授權,改過的不75F 03/15 23:19
→ : 能在UEFI裡面刷
→ : 能在UEFI裡面刷
→ : 他這種改過有漏洞的一樣刷不過不是嗎? 要用強制的77F 03/15 23:27
→ : 那種取得ROOT的方式 INTEL一樣會中招啦78F 03/15 23:35
→ : 都有你家的鑰匙的 我要進你家還不容易?
→ : 還是INTEL特別強 有鑰匙還打不開? =.=
→ : 都有你家的鑰匙的 我要進你家還不容易?
→ : 還是INTEL特別強 有鑰匙還打不開? =.=
→ : 最好笑的地方是... 已經拿到root了還要漏洞幹嘛?81F 03/15 23:36
→ : 沒有必要只拿AMD說嘴82F 03/15 23:36
→ : 高興的話想埋幾個洞就埋幾個83F 03/15 23:37
→ : 換個說法了 有人發布用球棒砸AMD的電腦一定會壞84F 03/15 23:42
→ : 所以INTEL的用球棒砸不壞?? 不是這樣的吧 =.=
→ : 換個說法好了
→ : 所以INTEL的用球棒砸不壞?? 不是這樣的吧 =.=
→ : 換個說法好了
推 : 我都有root了我要你漏洞幹嘛護航的可以有點腦嗎ww87F 03/15 23:53
→ : 還是說有什麼是root拿不到非漏洞不可的嗎
→ : 不過上次Meltdown還真的可以拿到root拿不到的資料欸
→ : 跨vm也拿給你看w
→ : 還是說有什麼是root拿不到非漏洞不可的嗎
→ : 不過上次Meltdown還真的可以拿到root拿不到的資料欸
→ : 跨vm也拿給你看w
噓 : 不知道收了多少&空了多少91F 03/16 01:05
噓 : 搞笑R92F 03/16 01:54
→ : AMD有漏洞還怕人說喔==93F 03/16 02:10
→ : AMD尊爵非凡==
→ : AMD尊爵非凡==
→ : 尊爵不凡應該打死都輪不到AMD...95F 03/16 02:29
噓 : WTF96F 03/16 06:53
噓 : 那是因為他們揭露的漏洞太廢 不在修正前揭露根本沒97F 03/16 08:25
→ : 新聞價值
→ : 新聞價值
→ : 安全漏洞是真的,只要你有伊森杭特的身手,去刷FBI總99F 03/16 08:42
→ : 部電腦的BIOS一定駭得進去
→ : 部電腦的BIOS一定駭得進去
推 : 哈哈哈101F 03/16 08:55
噓 : 都有權限了還要專漏洞?102F 03/16 09:25
推 : 此漏洞需要管理者權限才會被入侵,這樣你跟我說是漏103F 03/16 12:08
→ : 洞?????
→ : 媽的,到底是收intel多少錢阿,吃相難看的認證公司
→ : ,一點都不公證,明顯想搞AMD股價
→ : 洞?????
→ : 媽的,到底是收intel多少錢阿,吃相難看的認證公司
→ : ,一點都不公證,明顯想搞AMD股價
推 : 那個透過 driver 可以存取到其它 VM 的算是個洞107F 03/16 13:41
--
※ 看板: terievv 文章推薦值: 0 目前人氣: 0 累積人氣: 193
作者 hn9480412 的最新發文:
![]()
日前微軟已經將Windows 11 24H2發布於Release Preview通道,組建為Build 26100.712 。未來可能只會更動小數點後面的版本號碼,正式發布時可能也不是Build 2 …70F 29推- 22F 13推 4噓
- 17F 5推
- 13F 9推
點此顯示更多發文記錄
回列表(←)
分享