2017.W18 - 关注安全问题 > 问题跟暗恋一样 在你面前你却不知道 ## 前言 ## 主要跟大家分享 在资讯安全这个领域中 需要时常关注各大来源的第一手消息 像是订阅 CVE / Linux distro security fix / 各大 open source project 的 maillist 更详细的部分 可以参考 2017.W15 ## 内容 ## 这次跟大家分享 我在 ExploitWareLabs 中看到的消息 - Intel platform 的一个安全问题[0] 更详细的 可以参考 Intel 所释出的安全通报[1] 从 Intel 的消息来看 问题是一个 Elevation of Privilege [2] 或者称之为提权问题 问题发生在 2008 ~ 2017 的产品 1. AMT (Active Management Technology) 2. ISM (Intel Standard Manageability) 3. 相关版本的 SBT (Small Business Technology) firmware 然後在 Intel-based cusumer CPU 中问题不存在 从根本上来看 他的受害范围不是家庭用户 也不易受到网路攻击 但是这个问题凸显出来几个严重的问题与警讯 1. SemiAccurate [3] 知道这个漏洞已经超过一年 2. SemiAccurate 在五年前曾经提过这是一个不好的设计 [4] 这表示 Intel 已经获得这个消息超过 90 天 - 资安圈一个默认给厂商修复的时周期 在这段时间内 Intel `似乎` 没有办法提供一个正向的回覆 然後发现漏洞的人也基於道义没有公开 所以这个漏洞就一个小圈子内流传超过五年 ... ## 感想 ## 这个 case 主要是跟大家分享处理安全问题的一个流程 无论是发现方还是厂商 1. 当一个安全漏洞被发现的时候 就需假设漏洞已经被其他人发现 2. 厂商需要提供一个 `畅通` 的管道让外部的人提报安全问题 3. 无论严重性 厂商都需要给一个正向的答覆 (也就是严重程度的判断) 4. 同上 根据严重程度决定修复的时程 5. 发现漏洞的人给予一段时间後 厂商依然摆烂 下下策是公开 (disclosure) 细节 从过往的经验中发现 厂商不处理的安全问题 其实都卡在资讯处理不对等 像是 1. 厂商高层没有认知这是高危险的安全漏洞 2. 底层 RD 误判严重程度、或者漏洞细节不够详尽 3. 厂商没有提供一个提报平台 很水的一个章节... 但是我没梗了 QQ [0]: https://semiaccurate.com/2017/05/01/remote-security-exploit-2008-intel-platforms/ [1]: https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00075&languageid=en-fr [2]: https://en.wikipedia.org/wiki/Privilege_escalation [3]: https://en.wikipedia.org/wiki/SemiAccurate [4]: http://semiaccurate.com/2012/05/15/intel-small-business-advantage-is-a-security-nightmare/ --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.193.122.171 ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1493732063.A.7AE.html