存在數個多月未予通報
路透社獲取到了一份 Intel、蘋果、Alphabet ( Google 母公司 ) 週四提交給美國眾議員Greg Walden 的信件,後者是美國能源和商業委員會主席,這封信件要回答的就是關於 Meltdown 和 Spectre 漏洞對外披露公平性的問題,包括美國計算機應急響應小組(US-CERT)居然是在媒體報導之後才被 Intel 等通知。
Intel 強調,之所以沒有第一時間告知 US-CERT 是因為,他們當時意識到,沒有黑客可以成功利用這種高級別的漏洞,且也沒有在真實世界中發生。
據悉,Intel 知會 US-CERT 是在 1 月 3 日,而前一天的 1 月 2 日,英國媒體 TheReg 率先踢爆了兩大漏洞。
有趣的是,很多合作夥伴在 2017 年就了解到上述風險了,而通知 Intel 的則是 Google 的 Project Zero 團隊。按照標準處理程序,Intel 在 2017 年 6 月了解到情況後,只能保密 90 天。
不過,AMD 在信中稱,後來由於某種默契,Google 將時間推遲到了 1 月 3 日,再後來是 1 月 9 日。
所以,Intel 等巨頭想解釋的是,作為計算機從業者的意外發現,Meltdown 及 Spectre 漏洞是一種安全預研究的成果,並非是黑客的作品。所以,在意識到牽涉的面很廣後,他們當時是想和合作夥伴一道默默地解決掉即可,但 TheReg 這家媒體實在不簡單,充當了開膛手。