通报AMD不到一天就公布漏洞资讯惹争议，CTS Labs：现行的“责任揭露”有问题

以色列资安业者CTS Labs本周二 对外揭露了13个涉及AMD处理器的安全漏洞 ，距离通知AMD的时间不到24小时，引起外界哗然，然而，CTS Labs技术长Ilia Luk-Zilberman 很快就发表一封公开信 ，表示是想藉此呼吁大家重新审视现有的漏洞揭露程序。

CTS Labs本周的行为惹来许多批评，安全社交亦群起炮轰，有人抨击CTS Labs无视“责任揭露”精神，还有人揣测CTS Labs的作法是想拖跨AMD的股价，然而，Luk-Zilberman的解释让许多人改变了态度。

Luk-Zilberman表示，该公司自一年前就开始研究由祥硕科技代工的晶片，发现它们含有可控制晶片的后门，接着购买AMD的Ryezn电脑并执行攻击程式，显示该后门依然存在，可在AMD晶片组上读、写与执行程式，这使得他们开始研究AMD处理器，并发现一个又一个的安全漏洞，于是决定将它们公诸于世。

对Luk-Zilberman而言，现有的“责任揭露”存在着严重的问题，假使研究人员发现一个漏洞，该政策建议研究人员应在30天、45天或90天等有限的期间内与供应商共同打造缓解机制，之后研究人员再揭发漏洞。

问题之一是在于漏洞修补期间，是由供应商决定是否要通知用户，迄今绝大多数的供应商都在修补完毕后才告知客户相关漏洞及可能的风险，甚少是在发现漏洞之际就进行通知。第二个问题是倘若供应商未能及时修补漏洞，而研究人员公布了漏洞细节与攻击程式，则将危害使用者安全，等于是将供应商的过失转嫁到用户身上。

于是Luk-Zilberman认为更好的方式是在同一天通知供应商与大众，警告漏洞可能带来的影响，但直到漏洞被修补之后再公布技术细节，让供应商承受来自使用者的压力，也能避免使用者承担安全风险。

事实上，CTS Labs所公开的漏洞白皮书中并未涉及技术细节，但提交给AMD的报告中却有详细的资讯，此外，已有不少安全专家验证CTS Labs所提出的是有效的漏洞，尽管相关漏洞需要管理权限才能开采，可一旦遭到开采，就能够被植入可长久存在的恶意程式。