Intel kohtaa "Downfall" bug -oikeudenkäynnin, joka vaatii 10 XNUMX dollaria kantajaa kohti

Inteliä vastaan ​​tehtiin tällä viikolla ryhmäkannevalitus, koska se on käsitellyt tietoja vuotavia virheitä prosessoreissaan.

In 112-sivuinen asiakirja Yhdysvaltain piirioikeuden pohjoisen Kalifornian piirin San Jose Divisionin kanssa viisi edustavaa kantajaa väittävät, että sirujätti tiesi virheellisistä ohjeista, jotka mahdollistivat mm. viimeaikainen "Downfall" -virhe, puoli vuosikymmentä ennen kuin se todella julkaisi minkäänlaisen korjauksen.

Sen määrittäminen, onko Intelin huolimattomuus laillinen rikos, voi kuitenkin olla monimutkaista, ja sillä voi olla laajakantoisia seurauksia teknologiateollisuudelle.

"Viakoiden puuttuminen koskaan on epärealistinen vaatimus", sanoo Viakoon Viakoo Labsin varapuheenjohtaja John Gallagher, mutta "jos tietoni varastetaan, koska myyjä ei ole asentanut korjaustiedostoa ajoissa, minun pitäisi pystyä haastamaan heidät oikeuteen. huolimattomuuden vuoksi."

Kuinka Intel on käsitellyt siruongelmansa

Kaatuminen annettiin nimi CVE-2022-40982, 6.5 keskitason CVSS-luokiteltu tietojen paljastamisen haavoittuvuus Intelin kuudennen tai yhdennentoista sukupolven suorittimissa. Kuten Googlen tutkija paljasti viime elokuun Black Hatissa, hyökkääjä saattoi hyödyntää haavoittuvaa ohjetta prosessorit käyttävät spekulatiiviseen toteutukseen päästäkseen etuoikeutettuihin tietoihin muilta käyttäjiltä jaetussa tietokoneympäristössä.

Vaikka se on olemassa lukemattomissa miljoonissa, jopa miljardeissa tietokoneissa maailmanlaajuisesti (Intel nauttii suurin osa maailmanlaajuisista x86-suorittimien markkinoista), "yksilötasolla tämä ei vaikuta useimpiin ihmisiin; se on suhteellisen monimutkainen hyväksikäyttö ja perustuu siihen, että käyttäjä jakaa tietokoneen tai pilviympäristön”, Gallagher toteaa.

Vaikka Googlen tutkija nosti Downfallin ensimmäisen kerran parrasvaloihin elokuussa, uusi oikeusjuttu viittaa paljon pidemmälle.

Vuonna 2018, laiteharrastaja julkaisi löydöksiä osoittaa Downfall-tyylisen ohimenevän suorituskyvyn haavoittuvuuden Intel-suorittimissa. Se oli samanlainen kuin muut surullisen kuuluisimmat siruvirheet - Spectre and Meltdown - ja vielä toinen samanlainen tapaus - NetSpectre – syntyi suunnilleen samaan aikaan.

Huolimatta useista (julkisesti tunnetuista) haavoittuvuuksista Intelille aiheesta, Intel ei kuitenkaan analysoinut huolellisesti AVX ISA:n mahdollisia sivuvaikutuksia ja laitteistoratkaisuja niiden korjaamiseksi vuonna 2018. Tai vuonna 2019, tai 2020 tai 2021 tai 2022. Sen sijaan Intel asetti voitot etusijalle ja myi viallisia suorittimia vuosia sen jälkeen, kun se selvästi tiesi niiden olevan viallisia", valituksessa todetaan.

Samanaikaisesti Black Hat -ilmoituksen kanssa tänä vuonna, Intel julkaisi korjaustiedoston Downfallille. Mutta tämä korjaustiedosto, valituksessa huomautetaan, vähentää käsittelyn nopeuksia siinä määrin, että "kantajat jäävät viallisiin prosessoreihin, jotka ovat joko erittäin alttiita hyökkäyksille tai joita on hidastettava tuntemattomaan "korjaamaan" ne."

Tätä varten syyttäjä vaatii "rahallista korvausta Inteliä vastaan, joka mitataan suurempana seuraavista: (a) todelliset vahingot, joiden määrä määritetään oikeudenkäynnissä, tai (b) lakisääteinen 10,000 XNUMX dollarin vahingonkorvaus kutakin kantajaa kohden."

Pitäisikö Intel olla juridisesti vastuussa?

Rajaa, jonka jälkeen haavoittuvuuden huonosta korjaamisesta tulee suoranainen huolimattomuus, ei ole vielä määritelty selkeästi laissa.

"Ensi vuonna tulee kuluneeksi 30 vuotta siitä, kun Intelin "liukulukuvirhe" osui otsikoihin ja sai Intelin poistamaan sirujaan (mahdollisesti välttääkseen joutumasta oikeudelliseen vastuuseen). Sen jälkeen oikeudellinen vastuu ei ole juurikaan selvempi, koska aina tulee nurkkatapauksia ja pieniä puutteita, jotka eivät nouse juridisen vastuun tasolle, Gallagher pohtii.

Ja olipa Intel väärässä vai ei, monimutkainen sivukanavavirhe, jolla on rajalliset seuraukset useimmille tietokoneen omistajille, ei ole selkein tapa kääntää tämä suuntaus. "Jos tämä olisi laajalti käytetty virhe, joka olisi voitu kohtuudella estää, se saattaisi johtaa oikeudelliseen vastuuseen, mutta ilman sitä se on vain yksi esimerkki siitä, kuinka tiukimmillakin testauksilla ja tuotesuunnittelulla vikoja tapahtuu", hän sanoo. .

"Jos jokainen sivukanavan hyökkäys, jossa hyödynnetään sirutason arkkitehtuurivirhettä, nostettaisiin oikeudellisena tapauksena", hän päättelee, "kirjat olisivat täynnä."

Syyttäjän edustaja Bathaee Dunne LLP kieltäytyi kommentoimasta tätä tarinaa. Dark Reading otti yhteyttä myös Inteliin, joka ei ole vielä vastannut tähän julkaisuun mennessä.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug