Η Intel αντιμετωπίζει μήνυση σφαλμάτων «Κατόδου», ζητώντας 10 $ ανά ενάγοντα

Μια ομαδική καταγγελία υποβλήθηκε κατά της Intel αυτή την εβδομάδα για τον χειρισμό σφαλμάτων διαρροής δεδομένων στις CPU της.

In ένα αρχείο 112 σελίδων με το Τμήμα Σαν Χοσέ της Βόρειας Περιφέρειας του Περιφερειακού Δικαστηρίου των Ηνωμένων Πολιτειών της Καλιφόρνια, πέντε αντιπρόσωποι ενάγοντες ισχυρίζονται ότι ο γίγαντας των τσιπ γνώριζε για λανθασμένες οδηγίες που επέτρεπαν τέτοια ζητήματα όπως το πρόσφατο σφάλμα "Downfall", μισή δεκαετία πριν κυκλοφορήσει πραγματικά οποιοδήποτε είδος επιδιόρθωσης.

Ωστόσο, ο προσδιορισμός του εάν η αμέλεια της Intel συνιστά νομικό αδίκημα μπορεί να είναι περίπλοκος και θα μπορούσε να έχει εκτεταμένες επιπτώσεις στον κλάδο της τεχνολογίας.

«Το να μην έχω ποτέ κάποιο ελάττωμα είναι μια μη ρεαλιστική απαίτηση», λέει ο John Gallagher, αντιπρόεδρος των Viakoo Labs στη Viakoo, αλλά «αν τα δεδομένα μου κλαπούν επειδή ένας πωλητής δεν εφάρμοσε έγκαιρα ένα patch, θα πρέπει να μπορώ να τους μηνύσω λόγω αμέλειας».

Πώς η Intel αντιμετώπισε τα προβλήματα στο τσιπ

Downfall ήταν το όνομα που δόθηκε CVE-2022-40982, μια ευπάθεια αποκάλυψης πληροφοριών με μεσαία βαθμολογία CVSS 6.5 στους επεξεργαστές έκτης έως ενδέκατης γενιάς της Intel. Όπως αποκάλυψε ένας ερευνητής της Google στο Black Hat του περασμένου Αυγούστου, ένας εισβολέας θα μπορούσε να εκμεταλλευτεί μια ευάλωτη οδηγία οι επεξεργαστές χρησιμοποιούν για κερδοσκοπική εκτέλεση προκειμένου να αποκτήσετε πρόσβαση σε προνομιακές πληροφορίες από άλλους χρήστες σε ένα κοινόχρηστο υπολογιστικό περιβάλλον.

Αν και υπάρχει σε ανείπωτα εκατομμύρια, ακόμη και δισεκατομμύρια, υπολογιστές παγκοσμίως (απολαμβάνει η Intel η πλειοψηφία της παγκόσμιας αγοράς επεξεργαστών x86), «σε ατομικό επίπεδο αυτό δεν θα επηρεάσει τους περισσότερους ανθρώπους. είναι μια σχετικά πολύπλοκη εκμετάλλευση και βασίζεται σε έναν χρήστη που μοιράζεται έναν υπολογιστή ή περιβάλλον cloud», σημειώνει ο Gallagher.

Ενώ ο ερευνητής της Google έφερε για πρώτη φορά το Downfall στο προσκήνιο τον Αύγουστο, η νέα αγωγή δείχνει πολύ πιο πίσω από αυτό.

Σε 2018, ένας λάτρης του υλικού δημοσίευσε ευρήματα επίδειξη ευπάθειας προσωρινής εκτέλεσης τύπου Downfall σε επεξεργαστές Intel. Ήταν παρόμοιο με άλλα, πιο διαβόητα σφάλματα chip — Φάντασμα και κατακρήμνιση - και ακόμη μια άλλη, παρόμοια περίπτωση - NetSpectre — προέκυψε περίπου την ίδια εποχή.

"Ωστόσο, παρά τις πολλές (δημόσιες γνωστές) αποκαλύψεις ευπάθειας που έγιναν στην Intel σχετικά με το θέμα, η Intel δεν ανέλυσε προσεκτικά πιθανές παρενέργειες στο AVX ISA και μηχανολογικές λύσεις υλικού για να τις διορθώσει το 2018. Ή το 2019 ή 2020, ή 2021 ή 2022. Αντίθετα, η Intel έβαλε πρώτα τα κέρδη, πουλώντας ελαττωματικούς CPU για χρόνια αφού ξεκάθαρα γνώριζε ότι ήταν ελαττωματικές», αναφέρει η καταγγελία.

Σε συμφωνία με την αποκάλυψη του Black Hat φέτος, Η Intel κυκλοφόρησε μια ενημέρωση κώδικα για το Downfall. Αλλά αυτή η ενημέρωση κώδικα, επισημαίνει η καταγγελία, μειώνει τις ταχύτητες επεξεργασίας σε τέτοιο βαθμό που «οι ενάγοντες μένουν με ελαττωματικές CPU που είτε είναι εξαιρετικά ευάλωτες σε επιθέσεις είτε πρέπει να επιβραδυνθούν πέρα ​​από την αναγνώριση για να τις «επιδιορθώσουν».

Για αυτό, η εισαγγελία ζητά «χρηματική ελάφρυνση κατά της Intel που υπολογίζεται ως η μεγαλύτερη από (α) πραγματική αποζημίωση σε ποσό που θα καθοριστεί στη δίκη ή (β) νομική αποζημίωση ύψους 10,000 $ για κάθε ενάγοντα».

Πρέπει η Intel να θεωρηθεί νομικά υπεύθυνη;

Το όριο στο οποίο η ανεπαρκής αποκατάσταση ευπάθειας μετατρέπεται σε καθαρή αμέλεια δεν έχει ακόμη καθοριστεί με σαφήνεια από τη νομοθεσία.

«Το επόμενο έτος θα συμπληρωθούν 30 χρόνια από τότε που το «σφάλμα κινητής υποδιαστολής» της Intel έγινε πρωτοσέλιδο και έκανε την Intel να κάνει ανάκληση των τσιπ της (ενδεχομένως για να αποφευχθεί η νομική ευθύνη). Έκτοτε, η νομική ευθύνη δεν είναι πολύ πιο ξεκάθαρη, καθώς θα υπάρχουν πάντα γωνιακές υποθέσεις και μικρές ατέλειες που δεν θα έφταναν στο επίπεδο της νομικής ευθύνης», σκέφτεται ο Gallagher.

Και είτε η Intel έκανε λάθος είτε όχι, ένα περίπλοκο σφάλμα πλευρικού καναλιού με περιορισμένες συνέπειες για τους περισσότερους κατόχους υπολογιστών δεν κάνει την πιο ξεκάθαρη περίπτωση να αντιστρέψει αυτή την τάση. «Αν αυτό ήταν ένα ελάττωμα που χρησιμοποιήθηκε ευρέως και θα μπορούσε εύλογα να είχε αποτραπεί, θα μπορούσε να οδηγήσει σε νομική ευθύνη, αλλά χωρίς αυτό είναι απλώς ένα άλλο παράδειγμα του πώς, ακόμη και με τις πιο αυστηρές δοκιμές και σχεδιασμό προϊόντος, θα συμβούν ελαττώματα», λέει. .

«Αν κάθε επίθεση πλευρικού καναλιού που εκμεταλλευόταν ένα αρχιτεκτονικό ελάττωμα σε επίπεδο τσιπ είχε τεθεί ως νομική υπόθεση», καταλήγει, «τα ντοκουμέντα θα ξεχείλιζαν».

Η Bathaee Dunne LLP, που εκπροσωπεί την εισαγγελία, αρνήθηκε να σχολιάσει αυτή την ιστορία. Το Dark Reading επικοινώνησε επίσης με την Intel, η οποία δεν έχει απαντήσει ακόμη μέχρι αυτή τη δημοσίευση.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug