英特尔称漏洞非一家之过 规范速度赶不上研发速度

英特尔安全漏洞暴露行业规范速度滞后

资料图

“熔断”和“幽灵”两个安全漏洞出现的原因还是IT领域发展速度过快，而该行业一直没有形成相应的组织架构标准和监管

法治周末见习记者吴昊

英特尔最近被“熔断”（Meltdown）和“幽灵”（Spectre）这两个安全漏洞缠住了身。

前者允许低权限、用户级别的应用程序“越界”访问系统级的内存；后者则可骗过安全检查程序，使应用程序访问内存的任意位置。

1月3日，英特尔发布《最新安全研究结果及英特尔产品说明》，承认“熔断”和“幽灵”的存在，正与AMD、ARM控股以及其他操作系统供应商合作解决问题。

英特尔方面在接受法治周末记者采访时表示，在极端测试的环境下才有可能出现上述情况，截至目前，业界尚未一起与之相关的入侵事件。

但实际上，早在半年前，英特尔就被告知芯片有缺陷。

英特尔称漏洞非“一家之过”

2017年6月，谷歌Project Zero安全团队的一名成员向英特尔、AMD和ARM以及其他芯片生产商告知了“熔断”和“幽灵”漏洞的情况。

“为了防止这些漏洞被黑客发现，产生安全隐患，发现此次漏洞的谷歌团队要求英特尔、AMD、ARM等被通知的芯片企业以及各个操作系统供应商携手秘密开发并着手修补漏洞。”英特尔方面告诉法治周末记者。

1月4日，英特尔发布公告称，英特尔已经为基于英特尔芯片的各种计算机系统（包括个人电脑和服务器）开发了更新，并且正在快速发布这些更新，以保护这些系统免受谷歌Project Zero所报告的两种潜在攻击隐患。英特尔与其产业伙伴在部署软件补丁和固件更新方面已取得了一些进展。

亚太网络法律研究中心主任、北京师范大学法学院教授刘德良表示，我国的网络安全法有规定，各种系统或网络被发现存在漏洞时，发现者不能随意公开，防止被黑客利用，有时候可能黑客并不知道漏洞存在，发现者公布后有可能在补丁更新前被黑客利用，造成损失。

根据《英特尔公司CEO科再奇致科技行业领袖的公开信》，英特尔将在近日发布更新，以覆盖过去5年内推出的90%以上的英特尔CPU，其他CPU的更新将在1月底前发布。