Linuxeden开源社区“熔断”和“幽灵” 两大 CPU 漏洞由于问题严重而且影响范围广泛,引起了全球的关注。进入二月份,就在大家认为关于漏洞的事情也差不多快平息时,又被曝出有利用“熔断”和“幽灵”漏洞的恶意软件将面世。
这也不禁让人思考,这些芯片是否还存在其它漏洞没有暴露?亦或者要如何发现更多漏洞,从而提前修复,避免被有心人利用?
著名硬件黑客黄欣国昨天在博客上发文表示:事件发生后,很多人对 Intel 表示愤怒。确实,其实事情本来可以得到更好的处理,尤其是在相关用户群体之间的透明度和信息共享方面,本可以共同合作,及时部署有效的补丁。现在很多人在要求 Intel 进行赔偿或退换芯片,但我要强调的是,希望 Intel 在共享 Bug 和源代码方面更加透明。盯着代码库的眼睛越多,可以找到和修补的 Bug 就越多。
如果 Intel 愿意发布全面的微架构硬件设计规格、微代码、固件、软件源代码(如 AMT/ME),那么社区将一起找出隐藏在英特尔硬件里的更多安全 Bug,然后 Intel 可以免于支付任何与 Spectre/Meltdown 漏洞利用相关的赔偿,比如召回芯片。
黄欣国还认为,开源社区可以把 Spectre 和 Meltdown 危机作为一种要求改变现状的机会,推动闭源芯片商在不损坏对消费者的保护的前提下,共享其完整设计文档,让硬件更透明、更开放。
转自 http://www.oschina.net/news/93047/bunnie-suggest-intel-share-bugs-code
PS:开源出来估计补漏洞的速度跟不上…