英特尔宣称“保护客户的数据和确保产品的安全是我们的第一要务”。然而,安全研究员 Stefan Kanthak 并不这么认为。
英特尔管理引擎(ME)的制造模式( Manufacturing Mode )存在诸多问题,如果开启,处理器芯片将无法抵御本地攻击。媒体就该问题作出报道后,Kanthak在给媒体的邮件中表示,英特尔大言不惭的声明就是个厚颜无耻的谎言。
该声明是个典型的公关,毫无价值。
这句评价或许有点过了。今年早些时候,影响AMD、ARM、英特尔等厂商的幽灵和熔断边信道处理器漏洞曝光后,英特尔英特尔已做出努力更加重视安全问题,至少,会更多地谈及该问题了。
这家芯片巨头已经从坚称被发现的漏洞利用不是其设计缺陷的错并将其他芯片制造商也拖下水,进化到了雇佣危机公关公司 Sard Verbinnen & Co,成立英特尔产品保障与安全(IPAS)产品安全小组,发布一系列补丁,在 Whiskey Lake 和即将推出的 Cascade Lake 芯片中实现设计修改。
Chipzilla知情人士表示,该公司真诚渴望制造更安全的产品。
情感能否转化为能力尚未可知。但英特尔确实进行了公司结构革新以提升其安全状况。不过,Kanthak认为英特尔的安全热情并没有全公司范围扩散。
产品安全事件响应团队(PSIRT)自幽灵/熔断漏洞曝光依赖就十分繁忙,响应时间显著增加。但英特尔并非在唱独角戏,有很多独立小组和部门在编写驱动、应用及其安装程序。应对幽灵/熔断的人通常都不是编写(Windows)驱动或应用的那些。
Kanthak尤为关注英特尔面向Windows的软件,一直在敦促微软停止使用带漏洞的工具构建Windows安装程序。他最近刚披露了英特尔至尊调优实用程序( Extreme Tuning Utility )的问题,暴露出英特尔甚为马虎的软件构建方法。
最初的漏洞报告于2017年9月4日提交,因为没收到任何回复,Kanthak在2018年3月22日又提交了一次。2018年5月22日,英特尔发布了所谓的补丁,但没有任何安全建议,漏洞也依然存在。2018年6月5日和9月11日,后续漏洞报告出现,英特尔重新修复了其代码,这一次,附上了安全建议。
作为英特尔安全问题响应迟缓的进一步证据,Kanthak向媒体提供了6月间提交的一打英特尔软件漏洞报告,并要求不公布具体细节,因为英特尔尚未修复其中一些漏洞。
去年报告的微软 .NET Framework 漏洞也会影响到英特尔的代码,且该漏洞微软拒绝修复。Kanthak称:Windows Vista 发布后,英特尔开始在其多款驱动的图形用户界面(GUI)应用中使用 .NET Framework。由于这些应用需要管理员权限执行,可能导致提权攻击或用户账户控制(UAC)绕过。
面对Kanthak的批评,英特尔通过电子邮件给出了以下声明:
保护我们的客户及其数据一直是英特尔的头等大事。我们遵从协同披露原则以部署缓解措施和通告公众。鉴于我们产品的通用本质,我们通常与客户和其他第三方合作,包括硬件、软件及服务提供商,还有终端用户,一起开发并部署缓解措施。有效缓解可能需要各方协作。
至于融合安全与管理引擎(CSME),英特尔最近在季度包中整合了CSME更新以简化更新过程,为我们的客户和合作伙伴提高可预测性,让验证和应用修复补丁,以及向终端用户提供补丁都更为简便。
换言之,英特尔的安全步伐还是走得慢悠悠。