腾讯科技讯 据外媒报道,据英特尔等多家科技公司周四向国会提交的信函显示,在公众获悉关于meltdown和spectre芯片漏洞的信息之前,英特尔没有向美国政府官员通报这些漏洞,而alphabet在6个月前就将这些问题通知了英特尔。
也就是说,在公众获悉这些漏洞信息之前,美国政府也不知道这些漏洞的存在,美国政府的许多现任官员和前任官员都对此表示担忧,他们担心这些漏洞可能会对国家安全造成影响。
但是英特尔表示,他们认为没有必要与美国政府分享这些漏洞信息,因为黑客并没有利用这些漏洞。
技术网站theregister于1月3日报道了关于上述两个漏洞的消息,之后英特尔才向美国计算机紧急应变小组即us-cert通报了关于meltdown和spectre漏洞的信息。
美国计算机紧急应变小组负责向公众和私营部门发出有关各种网络安全问题的警报。该小组对此未予置评。
英特尔、alphabet和苹果周四发出信函,回复众议院能源和商务委员会主席、俄勒冈州共和党众议员格雷格-沃尔登(greg walden)的提问。他们在信函中详细说明了他们披露芯片漏洞的细节。
alphabet在信函中表示,谷歌零项目(google project zero)的安全研究人员在去年6月份就通知了芯片厂商英特尔、amd和软银集团旗下的arm。
它给芯片制造商们预留了90天的时间来解决这些问题,然后才公开披露了这些漏洞。这是网络安全行业的标准做法,目的是在黑客利用这些漏洞之前,让他们有时间来解决这些问题。
alphabet表示,它把是否将安全漏洞的信息通知政府官员的决定权留给了芯片厂商,这也是行业标准做法。
英特尔表示,它没有通知政府官员,因为“没有迹象表明这些漏洞被恶意分子利用”。
英特尔还说,它也没有对这些漏洞是否会损害关键基础设施进行分析,因为它认为这不会影响工业控制系统。但是英特尔表示,它把这些问题通知了其他科技公司。
记者未能联系到英特尔、alphabet和苹果置评。
amd、arm、微软和亚马逊也回应了国会议员们的提问。
微软表示,它确实在这些漏洞被公开披露的前几周将漏洞信息告知了几家杀毒软件厂商,让它们有时间来处理兼容性问题。
amd表示,alphabet两度延长了披露漏洞信息的最后时间,先是延长到1月3日,然后又延长到1月9日。
