310 新的逆天级漏洞(1/5)
推荐阅读:深空彼岸、明克街13号、最强战神、渡劫之王、天下第一、万族之劫、重生之都市仙尊、好想住你隔壁、特种奶爸俏老婆、妖夏
一秒记住【四四中文网 www.44zw.net】,精彩小说无弹窗免费阅读!
情况有些不对。
外部的压力并没有让梅博里完全失去思考的能力。
附件中最后关于另一个漏洞的描述虽然并不完整,但却让梅博里感觉到了紧张。
因为按照这个描述进行简单验证,梅博里瞬间相信了王宇飞手中的确还攥着地雷。
但梅博里没给王宇飞打电话,而是第一时间主动来到了史蒂芬的办公室。
“交易完成了吗?”史蒂芬放下了手中的工作,揉捏着眉头问道,语气并不算很友好。
之所以这么晚还要在办公室加班,还不是因为公司要应付国内那个咄咄逼人的律师?
如果技术部门能够以精益求精的心态去完成cpu的设计,不被发现这些漏洞,他哪里需要这么头疼?
当然,也因为琼斯律师事务所的那个迈克太贪婪了。
千万美元级别的和解方案直接被退回,对方甚至狮子大开口要价十亿美元!
这也就是那位琼斯律师事务所的迈克先生没在他的面前的了。
如果这位敢在他面前报出这么个价格来,史蒂芬发誓他绝对会直接掏出一把枪来直接把这个贪婪的家伙给“突突”了,根本不会犹豫半秒。
不知道为什么,想到接下来要应付这些贪婪的家伙,史蒂芬甚至觉得王宇飞能把漏洞提供给英特尔,要求仅仅只是英特尔给脑机芯片放行的举动,甚至很可爱。
“是的,交易完成了,根据对方提供的漏洞资料,我们已经确定了漏洞的原因。这个漏洞利用的依然是现代cpu结构中一个优化的功能,命令排……”
“好了!”
史蒂芬疲惫的抬起手制止了梅博里继续发挥下去,然后说道:“我对具体因为什么原因引发的漏洞不感兴趣,这些你做成书面报告在董事会上汇报就好了。我需要知道的是你们什么时候能够修补好这些漏洞。”
“这属于结构方面的漏洞,通过硬件层面修补很难,我们会尽快推出固件补丁程序。但同时我们可以将这一漏洞提供给友商们,相信再次之前友商可以通过系统更新,将漏洞的影响降到最低。至于彻底解决问题,可能需要我们在下一代的cpu里重新设计安全策略。”梅博里中规中矩的汇报道。
这个答案并没有让史蒂芬很意外。
cpu是靠预先设计好的逻辑电路工作的,一旦曝出漏洞修补起来可比修补软件漏洞要麻烦很多,这也是直接到今天之前cpu的漏洞问题还没能彻底解决的原因。
当然,只要用户层面不出大问题就ok了。
“好吧,这大概应该算个好消息,那么你还呆在这里做什么?千万别告诉我又有坏消息。”史蒂芬盯着欲言又止的梅博里,心里突然产生了不太好的预感。
“是的,史蒂芬先生。的确有不太好的消息,他的确是把约定好的漏洞提供给我们了。但是在末尾,他还多附加了一个不完整的漏洞信息,根据实验室的分析,如果这个信息是真的,将可能影响到近乎所有英特尔csme、sps、txe、dal以及英特尔amt的用户们。”
梅博里小心翼翼的汇报道。
然后四目再次相交,缠绵,直到梅博里率先转移目光。
压力很大,梅博里突然觉得自己在这个位置呆不上了,不过这样似乎也好,他就不用面对这种羞辱了。
想到给他提供漏洞的孩子只比他的儿子大七、八岁,梅博里就觉得英特尔或者可以换个更年轻的技术主管。
当然,并不是说年轻主管技术一定能更好,但起码面对这种情况的时候有一颗更坚强的心脏跟史蒂芬对视,不至于落了下风。
“让我们捋一捋啊,也就说对方帮助我们找到了两个可能给我们造成极大损失的漏洞,然后我们完成了交易。但是在这个基础上,他又给了你一些提示,告诉你从我们最新款的cpu上还发现了另一个漏洞,而这个漏洞的影响可能更大,对于我们已售出的绝大部分cpu都可能造成影响?”
似乎是已经出离愤怒了,史蒂芬的语气反而缓和了下来,心平气和的说道。
“大概情况就是这样的,他是利用基于csme加密数据存储设备加密时的一个漏洞,简单来说攻击者可以利用这一漏洞提权,并从csme内部执行代码。”
“但是csme是最早开始运行的系统之一,它负责以密码方式验证基于英特尔芯片的计算机上加载的所有固件。比如csme负责加载和验证uefi????????bios固件以及管理芯片组电源的固件。”
“同时csme也是其他技术的加密基础,我们的epid、身份保护、所有drm技术或基于固件的tpm的技术都是依赖于csme运行的。所以……”
看着史蒂芬越来越难看的脸色,梅博里说不下去了。
他怕把史蒂芬气坏了,身体出了什么问题就不好了。
现在办公室就他跟史蒂芬两个人,或者应该把老史同志的秘书给叫进来?
“那么,告诉我,梅博里,这个漏洞可以不通过对系统进行物理访问就能够利用吗?”
这是个极好的问题,换句话说,如果一旦曝光,黑产可以远程利用吗?
“这就是问题所在了,是的,史蒂芬先生,这个答案是肯定的。因为之前网络上就出现过很多恶意软件,可以得到操作系统级别的根特权以及bios级别的代码执行访问权限。如果这个漏洞曝光,很多攻击者都会将目光锁定在csme上,并在很短的时间通过各种极具想象力的方法,提取芯片组密匙。换句话说,这是一个我甚至不愿报告给友商的漏洞。”
说完了这些,梅博里心情一阵轻松。
把这种压力释放出去的感觉真的很爽,这大概就是传说中的压力转移。
实际上梅博里并不觉得自己应该为这次漏洞曝光事件承担责任,因为csme并不是他设计的,好吧,获取那个时候他曾参与设计过,但那个时候的他可不是首席技术官。
至于现在这个问题怎么解决……
在梅博里看来着已经不是一个纯粹的技术问题了。
或者应该交给史蒂芬来处理是最好的,他最多就是被从现在的位置上给踢下去,不可能失去更多了!
情况有些不对。
外部的压力并没有让梅博里完全失去思考的能力。
附件中最后关于另一个漏洞的描述虽然并不完整,但却让梅博里感觉到了紧张。
因为按照这个描述进行简单验证,梅博里瞬间相信了王宇飞手中的确还攥着地雷。
但梅博里没给王宇飞打电话,而是第一时间主动来到了史蒂芬的办公室。
“交易完成了吗?”史蒂芬放下了手中的工作,揉捏着眉头问道,语气并不算很友好。
之所以这么晚还要在办公室加班,还不是因为公司要应付国内那个咄咄逼人的律师?
如果技术部门能够以精益求精的心态去完成cpu的设计,不被发现这些漏洞,他哪里需要这么头疼?
当然,也因为琼斯律师事务所的那个迈克太贪婪了。
千万美元级别的和解方案直接被退回,对方甚至狮子大开口要价十亿美元!
这也就是那位琼斯律师事务所的迈克先生没在他的面前的了。
如果这位敢在他面前报出这么个价格来,史蒂芬发誓他绝对会直接掏出一把枪来直接把这个贪婪的家伙给“突突”了,根本不会犹豫半秒。
不知道为什么,想到接下来要应付这些贪婪的家伙,史蒂芬甚至觉得王宇飞能把漏洞提供给英特尔,要求仅仅只是英特尔给脑机芯片放行的举动,甚至很可爱。
“是的,交易完成了,根据对方提供的漏洞资料,我们已经确定了漏洞的原因。这个漏洞利用的依然是现代cpu结构中一个优化的功能,命令排……”
“好了!”
史蒂芬疲惫的抬起手制止了梅博里继续发挥下去,然后说道:“我对具体因为什么原因引发的漏洞不感兴趣,这些你做成书面报告在董事会上汇报就好了。我需要知道的是你们什么时候能够修补好这些漏洞。”
“这属于结构方面的漏洞,通过硬件层面修补很难,我们会尽快推出固件补丁程序。但同时我们可以将这一漏洞提供给友商们,相信再次之前友商可以通过系统更新,将漏洞的影响降到最低。至于彻底解决问题,可能需要我们在下一代的cpu里重新设计安全策略。”梅博里中规中矩的汇报道。
这个答案并没有让史蒂芬很意外。
cpu是靠预先设计好的逻辑电路工作的,一旦曝出漏洞修补起来可比修补软件漏洞要麻烦很多,这也是直接到今天之前cpu的漏洞问题还没能彻底解决的原因。
当然,只要用户层面不出大问题就ok了。
“好吧,这大概应该算个好消息,那么你还呆在这里做什么?千万别告诉我又有坏消息。”史蒂芬盯着欲言又止的梅博里,心里突然产生了不太好的预感。
“是的,史蒂芬先生。的确有不太好的消息,他的确是把约定好的漏洞提供给我们了。但是在末尾,他还多附加了一个不完整的漏洞信息,根据实验室的分析,如果这个信息是真的,将可能影响到近乎所有英特尔csme、sps、txe、dal以及英特尔amt的用户们。”
梅博里小心翼翼的汇报道。
然后四目再次相交,缠绵,直到梅博里率先转移目光。
压力很大,梅博里突然觉得自己在这个位置呆不上了,不过这样似乎也好,他就不用面对这种羞辱了。
想到给他提供漏洞的孩子只比他的儿子大七、八岁,梅博里就觉得英特尔或者可以换个更年轻的技术主管。
当然,并不是说年轻主管技术一定能更好,但起码面对这种情况的时候有一颗更坚强的心脏跟史蒂芬对视,不至于落了下风。
“让我们捋一捋啊,也就说对方帮助我们找到了两个可能给我们造成极大损失的漏洞,然后我们完成了交易。但是在这个基础上,他又给了你一些提示,告诉你从我们最新款的cpu上还发现了另一个漏洞,而这个漏洞的影响可能更大,对于我们已售出的绝大部分cpu都可能造成影响?”
似乎是已经出离愤怒了,史蒂芬的语气反而缓和了下来,心平气和的说道。
“大概情况就是这样的,他是利用基于csme加密数据存储设备加密时的一个漏洞,简单来说攻击者可以利用这一漏洞提权,并从csme内部执行代码。”
“但是csme是最早开始运行的系统之一,它负责以密码方式验证基于英特尔芯片的计算机上加载的所有固件。比如csme负责加载和验证uefi????????bios固件以及管理芯片组电源的固件。”
“同时csme也是其他技术的加密基础,我们的epid、身份保护、所有drm技术或基于固件的tpm的技术都是依赖于csme运行的。所以……”
看着史蒂芬越来越难看的脸色,梅博里说不下去了。
他怕把史蒂芬气坏了,身体出了什么问题就不好了。
现在办公室就他跟史蒂芬两个人,或者应该把老史同志的秘书给叫进来?
“那么,告诉我,梅博里,这个漏洞可以不通过对系统进行物理访问就能够利用吗?”
这是个极好的问题,换句话说,如果一旦曝光,黑产可以远程利用吗?
“这就是问题所在了,是的,史蒂芬先生,这个答案是肯定的。因为之前网络上就出现过很多恶意软件,可以得到操作系统级别的根特权以及bios级别的代码执行访问权限。如果这个漏洞曝光,很多攻击者都会将目光锁定在csme上,并在很短的时间通过各种极具想象力的方法,提取芯片组密匙。换句话说,这是一个我甚至不愿报告给友商的漏洞。”
说完了这些,梅博里心情一阵轻松。
把这种压力释放出去的感觉真的很爽,这大概就是传说中的压力转移。
实际上梅博里并不觉得自己应该为这次漏洞曝光事件承担责任,因为csme并不是他设计的,好吧,获取那个时候他曾参与设计过,但那个时候的他可不是首席技术官。
至于现在这个问题怎么解决……
在梅博里看来着已经不是一个纯粹的技术问题了。
或者应该交给史蒂芬来处理是最好的,他最多就是被从现在的位置上给踢下去,不可能失去更多了!