第314章.310 新的逆天級漏洞(1/5)
關燈
小
中
大
情況有些不對。
外部的壓力並沒有讓梅博裏完全失去思考的能力。
附件中最後關於另一個漏洞的描述雖然並不完整,但卻讓梅博裏感覺到了緊張。
因為按照這個描述進行簡單驗證,梅博裏瞬間相信了王宇飛手中的確還攥著地雷。
但梅博裏沒給王宇飛打電話,而是第一時間主動來到了史蒂芬的辦公室。
“交易完成了嗎?”史蒂芬放下了手中的工作,揉捏著眉頭問道,語氣並不算很友好。
之所以這麽晚還要在辦公室加班,還不是因為公司要應付國內那個咄咄逼人的律師?
如果技術部門能夠以精益求精的心態去完成CPU的設計,不被發現這些漏洞,他哪裏需要這麽頭疼?
當然,也因為瓊斯律師事務所的那個邁克太貪婪了。
千萬美元級別的和解方案直接被退回,對方甚至獅子大開口要價十億美元!
這也就是那位瓊斯律師事務所的邁克先生沒在他的面前的了。
如果這位敢在他面前報出這麽個價格來,史蒂芬發誓他絕對會直接掏出一把槍來直接把這個貪婪的家夥給“突突”了,根本不會猶豫半秒。
不知道為什麽,想到接下來要應付這些貪婪的家夥,史蒂芬甚至覺得王宇飛能把漏洞提供給英特爾,要求僅僅只是英特爾給腦機芯片放行的舉動,甚至很可愛。
“是的,交易完成了,根據對方提供的漏洞資料,我們已經確定了漏洞的原因。這個漏洞利用的依然是現代CPU結構中一個優化的功能,命令排……”
“好了!”
史蒂芬疲憊的擡起手制止了梅博裏繼續發揮下去,然後說道:“我對具體因為什麽原因引發的漏洞不感興趣,這些你做成書面報告在董事會上匯報就好了。我需要知道的是你們什麽時候能夠修補好這些漏洞。”
“這屬於結構方面的漏洞,通過硬件層面修補很難,我們會盡快推出固件補丁程序。但同時我們可以將這一漏洞提供給友商們,相信再次之前友商可以通過系統更新,將漏洞的影響降到最低。至於徹底解決問題,可能需要我們在下一代的CPU裏重新設計安全策略。”梅博裏中規中矩的匯報道。
這個答案並沒有讓史蒂芬很意外。
CPU是靠預先設計好的邏輯電路工作的,一旦曝出漏洞修補起來可比修補軟件漏洞要麻煩很多,這也是直接到今天之前CPU的漏洞問題還沒能徹底解決的原因。
當然,只要用戶層面不出大問題就OK了。
“好吧,這大概應該算個好消息,那麽你還呆在這裏做什麽?千萬別告訴我又有壞消息。”史蒂芬盯著欲言又止的梅博裏,心裏突然產生了不太好的預感。
“是的,史蒂芬先生。的確有不太好的消息,他的確是把約定好的漏洞提供給我們了。但是在末尾,他還多附加了一個不完整的漏洞信息,根據實驗室的分析,如果這個信息是真的,將可能影響到近乎所有英特爾CSME、SPS、TXE、DAL以及英特爾AMT的用戶們。”
梅博裏小心翼翼的匯報道。
然後四目再次相交,纏綿,直到梅博裏率先轉移目光。
壓力很大,梅博裏突然覺得自己在這個位置呆不上了,不過這樣似乎也好,他就不用面對這種羞辱了。
想到給他提供漏洞的孩子只比他的兒子大七、八歲,梅博裏就覺得英特爾或者可以換個更年輕的技術主管。
當然,並不是說年輕主管技術一定能更好,但起碼面對這種情況的時候有一顆更堅強的心臟跟史蒂芬對視,不至於落了下風。
“讓我們捋一捋啊,也就說對方幫助我們找到了兩個可能給我們造成極大損失的漏洞,然後我們完成了交易。但是在這個基礎上,他又給了你一些提示,告訴你從我們最新款的CPU上還發現了另一個漏洞,而這個漏洞的影響可能更大,對於我們已售出的絕大部分CPU都可能造成影響?”
似乎是已經出離憤怒了,史蒂芬的語氣反而緩和了下來,心平氣和的說道。
“大概情況就是這樣的,他是利用基於CSME加密數據存儲設備加密時的一個漏洞,簡單來說攻擊者可以利用這一漏洞提權,並從CSME內部執行代碼。”
“但是CSME是最早開始運行的系統之一,它負責以密碼方式驗證基於英特爾芯片的計算機上加載的所有固件。比如CSME負責加載和驗證UEFI BIOS固件以及管理芯片組電源的固件。”
“同時CSME也是其他技術的加密基礎,我們的EPID、身份保護、所有DRM技術或基於固件的TPM的技術都是依賴於CSME運行的。所以……”
看著史蒂芬越來越難看的臉色,梅博裏說不下去了。
他怕把史蒂芬氣壞了,身體出了什麽問題就不好了。
現在辦公室就他跟史蒂芬兩個人,或者應該把老史同志的秘書給叫進來?
“那麽,告訴我,梅博裏,這個漏洞可以不通過對系統進行物理訪問就能夠利用嗎?”
這是個極好的問題,換句話說,如果一旦曝光,黑產可以遠程利用嗎?
“這就是問題所在了,是的,史蒂芬先生,這個答案是肯定的。因為之前網絡上就出現過很多惡意軟件,可以得到操作系統級別的根特權以及BIOS級別的代碼執行訪問權限。如果這個漏洞曝光,很多攻擊者都會將目光鎖定在CSME上,並在很短的時間通過各種極具想象力的方法,提取芯片組密匙。換句話說,這是一個我甚至不願報告給友商的漏洞。”
說完了這些,梅博裏心情一陣輕松。
把這種壓力釋放出去的感覺真的很爽,這大概就是傳說中的壓力轉移。
實際上梅博裏並不覺得自己應該為這次漏洞曝光事件承擔責任,因為CSME並不是他設計的,好吧,獲取那個時候他曾參與設計過,但那個時候的他可不是首席技術官。
至於現在這個問題怎麽解決……
在梅博裏看來著已經不是一個純粹的技術問題了。
或者應該交給史蒂芬來處理是最好的,他最多就是被從現在的位置上給踢下去,不可能失去更多了!
本站無廣告,永久域名(danmei.twking.cc)
外部的壓力並沒有讓梅博裏完全失去思考的能力。
附件中最後關於另一個漏洞的描述雖然並不完整,但卻讓梅博裏感覺到了緊張。
因為按照這個描述進行簡單驗證,梅博裏瞬間相信了王宇飛手中的確還攥著地雷。
但梅博裏沒給王宇飛打電話,而是第一時間主動來到了史蒂芬的辦公室。
“交易完成了嗎?”史蒂芬放下了手中的工作,揉捏著眉頭問道,語氣並不算很友好。
之所以這麽晚還要在辦公室加班,還不是因為公司要應付國內那個咄咄逼人的律師?
如果技術部門能夠以精益求精的心態去完成CPU的設計,不被發現這些漏洞,他哪裏需要這麽頭疼?
當然,也因為瓊斯律師事務所的那個邁克太貪婪了。
千萬美元級別的和解方案直接被退回,對方甚至獅子大開口要價十億美元!
這也就是那位瓊斯律師事務所的邁克先生沒在他的面前的了。
如果這位敢在他面前報出這麽個價格來,史蒂芬發誓他絕對會直接掏出一把槍來直接把這個貪婪的家夥給“突突”了,根本不會猶豫半秒。
不知道為什麽,想到接下來要應付這些貪婪的家夥,史蒂芬甚至覺得王宇飛能把漏洞提供給英特爾,要求僅僅只是英特爾給腦機芯片放行的舉動,甚至很可愛。
“是的,交易完成了,根據對方提供的漏洞資料,我們已經確定了漏洞的原因。這個漏洞利用的依然是現代CPU結構中一個優化的功能,命令排……”
“好了!”
史蒂芬疲憊的擡起手制止了梅博裏繼續發揮下去,然後說道:“我對具體因為什麽原因引發的漏洞不感興趣,這些你做成書面報告在董事會上匯報就好了。我需要知道的是你們什麽時候能夠修補好這些漏洞。”
“這屬於結構方面的漏洞,通過硬件層面修補很難,我們會盡快推出固件補丁程序。但同時我們可以將這一漏洞提供給友商們,相信再次之前友商可以通過系統更新,將漏洞的影響降到最低。至於徹底解決問題,可能需要我們在下一代的CPU裏重新設計安全策略。”梅博裏中規中矩的匯報道。
這個答案並沒有讓史蒂芬很意外。
CPU是靠預先設計好的邏輯電路工作的,一旦曝出漏洞修補起來可比修補軟件漏洞要麻煩很多,這也是直接到今天之前CPU的漏洞問題還沒能徹底解決的原因。
當然,只要用戶層面不出大問題就OK了。
“好吧,這大概應該算個好消息,那麽你還呆在這裏做什麽?千萬別告訴我又有壞消息。”史蒂芬盯著欲言又止的梅博裏,心裏突然產生了不太好的預感。
“是的,史蒂芬先生。的確有不太好的消息,他的確是把約定好的漏洞提供給我們了。但是在末尾,他還多附加了一個不完整的漏洞信息,根據實驗室的分析,如果這個信息是真的,將可能影響到近乎所有英特爾CSME、SPS、TXE、DAL以及英特爾AMT的用戶們。”
梅博裏小心翼翼的匯報道。
然後四目再次相交,纏綿,直到梅博裏率先轉移目光。
壓力很大,梅博裏突然覺得自己在這個位置呆不上了,不過這樣似乎也好,他就不用面對這種羞辱了。
想到給他提供漏洞的孩子只比他的兒子大七、八歲,梅博裏就覺得英特爾或者可以換個更年輕的技術主管。
當然,並不是說年輕主管技術一定能更好,但起碼面對這種情況的時候有一顆更堅強的心臟跟史蒂芬對視,不至於落了下風。
“讓我們捋一捋啊,也就說對方幫助我們找到了兩個可能給我們造成極大損失的漏洞,然後我們完成了交易。但是在這個基礎上,他又給了你一些提示,告訴你從我們最新款的CPU上還發現了另一個漏洞,而這個漏洞的影響可能更大,對於我們已售出的絕大部分CPU都可能造成影響?”
似乎是已經出離憤怒了,史蒂芬的語氣反而緩和了下來,心平氣和的說道。
“大概情況就是這樣的,他是利用基於CSME加密數據存儲設備加密時的一個漏洞,簡單來說攻擊者可以利用這一漏洞提權,並從CSME內部執行代碼。”
“但是CSME是最早開始運行的系統之一,它負責以密碼方式驗證基於英特爾芯片的計算機上加載的所有固件。比如CSME負責加載和驗證UEFI BIOS固件以及管理芯片組電源的固件。”
“同時CSME也是其他技術的加密基礎,我們的EPID、身份保護、所有DRM技術或基於固件的TPM的技術都是依賴於CSME運行的。所以……”
看著史蒂芬越來越難看的臉色,梅博裏說不下去了。
他怕把史蒂芬氣壞了,身體出了什麽問題就不好了。
現在辦公室就他跟史蒂芬兩個人,或者應該把老史同志的秘書給叫進來?
“那麽,告訴我,梅博裏,這個漏洞可以不通過對系統進行物理訪問就能夠利用嗎?”
這是個極好的問題,換句話說,如果一旦曝光,黑產可以遠程利用嗎?
“這就是問題所在了,是的,史蒂芬先生,這個答案是肯定的。因為之前網絡上就出現過很多惡意軟件,可以得到操作系統級別的根特權以及BIOS級別的代碼執行訪問權限。如果這個漏洞曝光,很多攻擊者都會將目光鎖定在CSME上,並在很短的時間通過各種極具想象力的方法,提取芯片組密匙。換句話說,這是一個我甚至不願報告給友商的漏洞。”
說完了這些,梅博裏心情一陣輕松。
把這種壓力釋放出去的感覺真的很爽,這大概就是傳說中的壓力轉移。
實際上梅博裏並不覺得自己應該為這次漏洞曝光事件承擔責任,因為CSME並不是他設計的,好吧,獲取那個時候他曾參與設計過,但那個時候的他可不是首席技術官。
至於現在這個問題怎麽解決……
在梅博裏看來著已經不是一個純粹的技術問題了。
或者應該交給史蒂芬來處理是最好的,他最多就是被從現在的位置上給踢下去,不可能失去更多了!
本站無廣告,永久域名(danmei.twking.cc)