在十天前被以色列公司 CTS Labs 爆出,旗下平台安全处理器存在 13 项可能让骇客窃取敏感数据、安装恶意软件或是控制电脑的漏洞后(可归为 RyzenFall、MasterKey、Fallout、Chimera 这几类),AMD 现在终于出来表明了自己的态度。在新发布的声明中,他们淡化了漏洞的威胁性,并且承诺在未来几周时间内便会推出对应的补丁。

不过在漏洞相关的技术问题以外,CTS 此次在向 AMD 通报时选择的方式,却引发了关于责任披露的一场讨论。一般来说,安全专家在发现某家公司的产品存在漏洞后,都会给对方 90 天甚至更长的反应时间(视漏洞严重性而定)。比如说 Google 在将 Meltdown 和 Spectre 公之于众前就给了英特尔差不多 200 天,大家这么做的原因很简单,就是为了在漏洞被滥用前先给涉事方补救的机会,尽可能消除潜在的风险。

但是在这一次的事件中,CTS Labs 在知会 AMD 短短 24 小时后,便对外公布了他们的发现。而在如此短的时间内,后者显然是无法及时拿出解决办法的。是说,CTS 尽管没有给出可能伤害到用户的任何技术细节,但其过早公开的行为还是在行业内造成了连锁反应。在接受 ZDNet 采访时,Linux 之父 Linus Torvalds 更是直言:「在我眼中这看似提出安全建议的行为其实更像是要蓄意操纵股票。」

当然,CTS 方面坚称自己的做法完全在理,因为他们认为 AMD 是没法在「好多月,甚至一年」的时间内把漏洞补上的。公司 CTO Ilia Luk-Zilberman 此前也在 AMDflaws 上发文阐述了自己对 90 天反应期的想法,并表示第一时间将漏洞公开的行为,其实是为了向相关方面施加压力,这样才能在最短时间里把问题解决。

但不管怎么说,AMD 目前已经在不算久的时间里给出了初期的解决方法,很快用户就可以进行相关的 BIOS 更新(放心,这是不会拖慢电脑的)。至于类似情况的反应时间到底该给多久,坊间也依旧有各种不同的声音。对于此事,不知各位读者都持什么样的态度呢?