英特尔宣称“保护客户的数据和确保产品的安全是我们的第一要务”。然而,安全研究员 Stefan Kanthak 并不这么认为。
英特尔管理引擎(ME)的制造模式( Manufacturing Mode )存在诸多问题,如果开启,处理器芯片将无法抵御本地攻击。媒体就该问题作出报道后,Kanthak在给媒体的邮件中表示,英特尔大言不惭的声明就是个厚颜无耻的谎言。
“
该声明是个典型的公关,毫无价值。
这句评价或许有点过了。今年早些时候,影响AMD、ARM、英特尔等厂商的幽灵和熔断边信道处理器漏洞曝光后,英特尔英特尔已做出努力更加重视安全问题,至少,会更多地谈及该问题了。
“
产品安全事件响应团队(PSIRT)自幽灵/熔断漏洞曝光依赖就十分繁忙,响应时间显著增加。但英特尔并非在唱独角戏,有很多独立小组和部门在编写驱动、应用及其安装程序。应对幽灵/熔断的人通常都不是编写(Windows)驱动或应用的那些。
Kanthak尤为关注英特尔面向Windows的软件,一直在敦促微软停止使用带漏洞的工具构建Windows安装程序。他最近刚披露了英特尔至尊调优实用程序( Extreme Tuning Utility )的问题,暴露出英特尔甚为马虎的软件构建方法。
“
保护我们的客户及其数据一直是英特尔的头等大事。我们遵从协同披露原则以部署缓解措施和通告公众。鉴于我们产品的通用本质,我们通常与客户和其他第三方合作,包括硬件、软件及服务提供商,还有终端用户,一起开发并部署缓解措施。有效缓解可能需要各方协作。
“
至于融合安全与管理引擎(CSME),英特尔最近在季度包中整合了CSME更新以简化更新过程,为我们的客户和合作伙伴提高可预测性,让验证和应用修复补丁,以及向终端用户提供补丁都更为简便。
换言之,英特尔的安全步伐还是走得慢悠悠。
本文转自安全牛,nana
原文链接:https://mp.weixin.qq.com/s/BVD2Yy846kcB0U4LQLYlaA