示意圖,與新聞事件無關。

接連爆發重大漏洞Spectre、LT1F後,英特爾釋出更新微機碼來修補。不過由於修補程式可能影響PC效能,開發人員指控,英特爾不准他們將系統效能標竿測試的情況公佈出來。英特爾則在稍晚出面滅火,公佈新的授權條款,刪除這些限制。

開源陣營大師Bruce Perens指出,英特爾近日發佈了CPU微程式碼來修補Foreshadow/L1TF等多項旁路與時序攻擊漏洞,但是它近日軟體授權條款卻禁止使用者公佈安裝這些軟體後的PC效能測試。

根據使用者在Ubuntu(下圖)及Reddit貼出的英特爾授權中的授權限制條款,除了不能使用、複製、散佈銷售、以及修改、反組譯等一般規定外,英特爾還限制使用者公佈或提供任何軟體標竿測試或比較的結果。由於每個指令都需要這些微程式碼,因此這項限制似乎會影響整個處理器。也就是說,如果開發人員要公佈PC的結果,千萬不要跑任何標竿測試。

事實上,Debian開發人員上周在論壇上公告,Debian的套件前二周即已準備好,但礙於英特爾授權條款而只好暫緩上傳。

使用者是否要安裝修補程式,需要知道效能影響及必要性。Spectre變種2到近期Spectre 4及L1TF,修補這些漏洞的程式可能導致PC效能下降。例如Spectre變種2,最早會讓Intel Core處理器的Windows 10 PC被拖慢10%,Spectre變種4的CPU微程式碼更新則影響PC效能2-8%。此外,由於許多電腦不允許未授權使用者在CPU上執行程式,因此較不會發生旁路和時序攻擊,因此也沒有必要冒著效能降低的風險安裝修補程式。

Perens批評,英特爾的授權限制等於不讓任何人知道這些缺點和風險,但處理安全的正確方法應是公開損害風險、公佈緩解方法,讓客戶自行判斷,堵住想公佈標竿測試資訊的人的嘴來傷害言論自由,令人無法接受。

在引發批評論後,英特爾終於從善如流。該公司周四公佈新的授權條款,只剩下關於軟體散佈的限制,包括文件中需貼上英特爾的版權公告及免責條款,不得未經許可下,使用英特爾及其供應商的名字來推銷軟體,以及禁止反向工程、反組譯及拆解軟體等。

熱門新聞

Advertisement