回顾Meltdown与Spectre漏洞披露事件:风险与启示
风险与重复:Meltdown和Spectre漏洞披露回顾
在Black Hat USA 2018大会上,关于Meltdown和Spectre漏洞披露过程的新见解引发了人们对协调漏洞披露(CVD)处理方式的思考。来自微软、谷歌和红帽的代表组成的小组讨论,首次披露了漏洞响应背后的细节。
讨论揭示了一系列阻碍因素,这些因素不仅影响了英特尔、AMD和ARM等芯片制造商,也给各相关企业的安全响应团队带来挑战。例如由于沟通失误,谷歌在漏洞首次报告给芯片制造商45天后才被正式告知。
小组成员还讨论了决定哪些利益相关方应参与漏洞披露响应流程的难题,包括参与时机选择等关键问题。本期播客中,SearchSecurity编辑Rob Wright和Peter Loshin围绕以下问题展开探讨:
- 协调漏洞披露流程应如何优化?
- 预披露响应和缓解措施应该扩大还是缩小知情范围?
- 谷歌为何被排除在信息链之外长达45天?
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
公众号二维码
浙公网安备 33010602011771号