通報AMD不到一天就公布漏洞資訊惹爭議,CTS Labs:現行的「責任揭露」有問題



CTS Labs發表公開信說明為何要在通報一天內徑行公佈漏洞資訊。

以色列資安業者CTS Labs本周二(3/13)對外揭露了13個涉及AMD處理器的安全漏洞,距離通知AMD的時間不到24小時,引起外界嘩然,然而,CTS Labs技術長Ilia Luk-Zilberman很快就發表一封公開信,表示是想藉此呼籲大家重新審視現有的漏洞揭露程序。

CTS Labs本周的行為惹來許多批評,安全社群亦群起炮轟,有人抨擊CTS Labs無視「責任揭露」精神,還有人揣測CTS Labs的作法是想拖跨AMD的股價,然而,Luk-Zilberman的解釋讓許多人改變了態度。

Luk-Zilberman表示,該公司自一年前就開始研究由祥碩科技(ASMedia)代工的晶片,發現它們含有可控制晶片的後門,接著購買AMD的Ryezn電腦並執行攻擊程式,顯示該後門依然存在,可在AMD晶片組上讀、寫與執行程式,這使得他們開始研究AMD處理器,並發現一個又一個的安全漏洞,於是決定將它們公諸於世。

對Luk-Zilberman而言,現有的「責任揭露」(Responsible Disclosure)存在著嚴重的問題,假使研究人員發現一個漏洞,該政策建議研究人員應在30天、45天或90天等有限的期間內與供應商共同打造緩解機制,之後研究人員再揭發漏洞。

問題之一是在於漏洞修補期間,是由供應商決定是否要通知用戶,迄今絕大多數的供應商都在修補完畢後才告知客戶相關漏洞及可能的風險,甚少是在發現漏洞之際就進行通知。

《原文請見iThome(https://www.ithome.com.tw/news/121826)》