在周四致国会议员的一封信中,多家科技企业指出:英特尔未能及时向美国网络安全官员披露有关“熔毁”和“幽灵”处理器漏洞的详情,直到该问题在公众面前曝光 —— 即便英特尔对这些漏洞有深入的了解。据路透社报道,谷歌母公司 Alphabet 和苹果,向众议员能源与商务委员会主席 Greg Walden 送去了这封信,而他此前曾质疑过这件事。
Alphabet 指出,去年 6 月份的时候,Google Project Zero 团队就向英特尔、AMD 和 ARM 通报了芯片漏洞。并在向公众曝光之前,给予了它们 90 天的时间去修复。
遗憾的是,在 1 月 3 号之前,英特尔都没有向美国计算机应急响应机构(US-CERT)披露此事,直到媒体的报道铺天盖地。对此,该公司的解释是“没有迹象表明这些漏洞已经被恶意操作者利用”。
在发现缺陷的时候,英特尔也没有对这些缺陷“是否会影响重要的基础设施”而进行分析,因为该公司不相信工业控制系统会受到影响,但它确实通知了使用其产品的科技企业。
今年 1 月初曝光的这两个漏洞,对所有现代处理器都造成了影响。它们会利用 CPU 的投机执行机制来暴露获取用户数据。更糟糕的是,由于这是个硬件缺陷,操作系统制造商们也只能通过软件补丁来尽力弥补。
苹果率先在 iOS 11.2、macOS 10.13.2、tvOS 11.2 中部署了缓解措施,万幸的是没有对设备性能造成太大的影响。至于英特尔,除了没有及时向 US-CERT 通气外,它还面临着至少 32 起相关诉讼。