一名安全研究人员表示,在安全缺陷被公开前二个月,操作系统厂商就会得到通报,但一些操作系统厂商仍然没有能够修正其中的安全缺陷。
在5 月13日的会议上,科林·珀西瓦尔公布了一种影响英特尔使用超线程技术的芯片的缺陷。该缺陷可能使本地黑客窃取密码等机密资料。
FreeBSD 安全团队的成员珀西瓦尔已经接到了BSD 系列开放源代码操作系统、SCO 、Ubuntu Linux开发商对这一问题的正式响应,但是,象微软那样,Red Hat 、Novell、Mandriva等Linux 厂商的反应也一直慢半拍。
他说,由于我在3 月初已经向它们通报了这一问题,我认为它们在一个月前就应当发布了补丁软件。我已经明确地向它们表示,我将在5 月13日公开这一问题,它们应当确保在这一日期前发布补丁软件。
Red Hat 的代表表示,他们的安全研究团队将这一缺陷评定为“中等安全影响”,它正在与OpenSSL 工具包的开发商合作开发补丁软件。
微软的一名代表称,他们正在对珀西瓦尔的报告进行调查,但迄今为止,他们还没有接收到利用这一缺陷发动攻击的报告,微软要等到调查结束时才会采取措施。
Novell的一名代表说,我们已经得知了这一问题,正在努力解决它。
珀西瓦尔对英特尔的反应进行了批评,英特尔认为这一缺陷的危险程度“非常低”。他说,英特尔把问题想得太简单了,该缺陷使得登录同一台计算机系统的用户能够相互之间窃取数据。
尽管该缺陷只影响多用户服务器,但这类计算机的应用也十分广泛。他说,最明显的例子是共享的Web 服务器,绝大多数的小型电子商务网站都使用这类服务器。在这类服务器上,这一缺陷是十分严重的。
去年12月份,珀西瓦尔已经向BSD 系列操作系统开发社区通报了这一问题,BSD 系列操作系统开发社区也发布了临时的解决方案。
