Intel står over for 'Downfall'-fejlssag og søger $10 pr. sagsøger

En gruppesøgsmål blev indgivet mod Intel i denne uge for dets håndtering af datalækkende fejl i deres CPU'er.

In et arkiv på 112 sider med San Jose Division i USA's District Court's Northern District of California hævder fem repræsentative sagsøgere, at chipgiganten kendte til fejlbehæftede instruktioner, som muliggjorde problemer som f.eks. den nylige "Downfall"-fejl, et halvt årti før den faktisk udgav nogen form for rettelse.

Det kan dog være kompliceret at afgøre, om Intels uagtsomhed udgør en lovovertrædelse, og det kan have vidtrækkende konsekvenser for teknologiindustrien.

"Aldrig at have en fejl er et urealistisk krav," siger John Gallagher, vicepræsident for Viakoo Labs hos Viakoo, men "hvis mine data bliver stjålet, fordi en leverandør ikke har anvendt en patch rettidigt, burde jeg være i stand til at sagsøge dem på grund af uagtsomhed."

Hvordan Intel har håndteret sine chipproblemer

Downfall hed det CVE-2022-40982, en 6.5 medium-vurderet CVSS-vurderet informationssårbarhed i Intels sjette til ellevte generations CPU'er. Som en Google-forsker afslørede ved Black Hat i august sidste år, kunne en angriber drage fordel af en sårbar instruktion, processorer bruger til spekulativ udførelse for at få adgang til privilegeret information fra andre brugere i et delt computermiljø.

Selvom det findes i utallige millioner, endda milliarder, af computere verden over (Intel nyder størstedelen af ​​det globale x86 CPU-marked), "på individuelt niveau vil dette ikke påvirke de fleste mennesker; det er en relativt kompleks udnyttelse og er baseret på en bruger, der deler en computer eller et cloudmiljø,” bemærker Gallagher.

Mens Google-forskeren først bragte Downfall frem i rampelyset i august, peger den nye retssag langt længere tilbage end det.

I 2018, blev en hardwareentusiast offentliggjorde resultater demonstrerer sårbarhed over for forbigående udførelse af Downfall-stil i Intel CPU'er. Det lignede andre, mere berygtede chip-bugs - Specter og Meltdown - og stadigvæk et andet lignende tilfælde - NetSpectre - opstod omkring samme tid.

"Men på trods af adskillige (offentligt kendte) afsløringer af sårbarheder til Intel om emnet, analyserede Intel ikke omhyggeligt[sic] mulige bivirkninger i AVX ISA og tekniske hardwareløsninger for at rette dem i 2018. Eller i 2019, eller 2020, eller 2021 eller 2022. I stedet satte Intel profitten først og solgte defekte CPU'er i årevis efter, at de tydeligvis vidste, at de var defekte,« hedder det i klagen.

I overensstemmelse med Black Hat-afsløringen i år, Intel udgav en patch til Downfall. Men denne patch, påpeger klagen, reducerer behandlingshastigheder i en sådan grad, at "sagsøgere står tilbage med defekte CPU'er, der enten er ekstremt sårbare over for angreb eller skal bremses til ukendelighed for at 'rette' dem."

For dette søger anklagemyndigheden "monetær godtgørelse mod Intel målt som den største af (a) faktiske skader i et beløb, der skal fastlægges under retssagen eller (b) lovbestemte erstatninger på et beløb på $10,000 for hver sagsøger."

Skal Intel holdes juridisk ansvarlig?

Tærsklen, ved hvilken dårlig sårbarhedsafhjælpning bliver direkte uagtsomhed, er endnu ikke klart defineret ved lov.

"Næste år vil være 30 år siden Intels 'floating point-fejl' ramte overskrifterne og fik Intel til at tilbagekalde sine chips (potentielt for at undgå at blive fundet juridisk ansvarlig). Siden da er det juridiske ansvar ikke meget tydeligere, da der altid vil være hjørnesager og mindre fejl, som ikke vil stige til niveauet for juridisk ansvar,” reflekterer Gallagher.

Og uanset om Intel tog fejl eller ej, er en kompleks sidekanalfejl med begrænsede konsekvenser for de fleste computerejere ikke den klareste sag til at vende denne tendens. "Hvis dette var en udbredt fejl, som med rimelighed kunne have været forhindret, kunne det give anledning til juridisk ansvar, men uden det er det blot endnu et eksempel på, hvordan selv med den mest strenge test og produktdesign vil der ske fejl," siger han .

"Hvis hvert sidekanalangreb, der udnytter en arkitektonisk fejl på chip-niveau, blev anlagt som en juridisk sag," konkluderer han, "ville dokumenterne flyde over."

Bathaee Dunne LLP, der repræsenterer anklagemyndigheden, afviste at kommentere denne historie. Dark Reading nåede også ud til Intel, som endnu ikke har svaret fra denne udgivelse.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug