Intel Menghadapi Gugatan Bug 'Kejatuhan', Meminta $10K per Penggugat

Keluhan class action diajukan terhadap Intel minggu ini atas penanganan bug kebocoran data di CPU-nya.

In arsip 112 halaman dengan Divisi San Jose di Pengadilan Distrik Amerika Serikat Distrik Utara California, lima perwakilan penggugat menuduh bahwa raksasa chip tersebut mengetahui tentang instruksi yang salah yang memungkinkan masalah seperti bug “Kejatuhan” baru-baru ini, setengah dekade sebelum mereka benar-benar merilis perbaikan apa pun.

Namun, menentukan apakah kelalaian Intel merupakan pelanggaran hukum mungkin rumit dan dapat berdampak luas pada industri teknologi.

“Tidak pernah memiliki cacat adalah permintaan yang tidak realistis,” kata John Gallagher, wakil presiden Viakoo Labs di Viakoo, namun “jika data saya dicuri karena vendor tidak menerapkan patch pada waktu yang tepat, saya harus dapat menuntut mereka karena kelalaiannya.”

Bagaimana Intel Mengatasi Masalah Chipnya

Kejatuhan adalah nama yang diberikan untuk itu CVE-2022-40982, kerentanan pengungkapan informasi dengan peringkat CVSS 6.5 tingkat menengah di CPU Intel generasi keenam hingga kesebelas. Seperti yang diungkapkan peneliti Google pada Black Hat Agustus lalu, penyerang dapat memanfaatkan instruksi yang rentan tersebut prosesor digunakan untuk eksekusi spekulatif untuk mendapatkan akses ke informasi istimewa dari pengguna lain dalam lingkungan komputasi bersama.

Meskipun ia ada di jutaan, bahkan miliaran komputer di seluruh dunia (Intel menikmatinya mayoritas pasar CPU x86 global), “pada tingkat individu hal ini tidak akan berdampak pada kebanyakan orang; ini adalah eksploitasi yang relatif kompleks dan didasarkan pada pengguna yang berbagi komputer atau lingkungan cloud,” catat Gallagher.

Meskipun peneliti Google pertama kali membawa Downfall menjadi pusat perhatian pada bulan Agustus, tuntutan hukum baru ini menunjukkan hal yang lebih jauh dari itu.

Dalam 2018, seorang penggemar perangkat keras menerbitkan temuannya menunjukkan kerentanan eksekusi sementara gaya Downfall di CPU Intel. Itu mirip dengan bug chip lainnya yang lebih terkenal — Momok dan Meltdown - dan lagi kasus lain yang serupa — NetSpectre — muncul pada waktu yang hampir bersamaan.

“Namun, meskipun beberapa pengungkapan kerentanan (yang diketahui publik) dilakukan kepada Intel mengenai masalah ini, Intel tidak secara hati-hati menganalisis kemungkinan efek samping dalam AVX ISA dan merekayasa solusi perangkat keras untuk memperbaikinya pada tahun 2018. Atau pada tahun 2019, atau 2020, atau 2021, atau 2022. Sebaliknya, Intel mengutamakan keuntungan, menjual CPU yang rusak selama bertahun-tahun setelah Intel mengetahui dengan jelas bahwa CPU tersebut rusak,” demikian isi keluhan tersebut.

Selaras dengan wahyu Black Hat tahun ini, Intel merilis patch untuk Downfall. Namun patch tersebut, menurut pengaduan, mengurangi kecepatan pemrosesan sedemikian rupa sehingga “penggugat memiliki CPU yang rusak dan sangat rentan terhadap serangan atau harus diperlambat hingga tidak dapat dikenali lagi untuk 'memperbaikinya'.”

Untuk hal ini, penuntut meminta “keringanan finansial terhadap Intel yang diukur sebagai jumlah yang lebih besar dari (a) kerugian sebenarnya dalam jumlah yang akan ditentukan di persidangan atau (b) kerugian menurut undang-undang sebesar $10,000 untuk setiap penggugat.”

Haruskah Intel Dianggap Bertanggung Jawab Secara Hukum?

Ambang batas dimana remediasi kerentanan yang buruk bisa menjadi kelalaian belum ditentukan dengan jelas oleh undang-undang.

“Tahun depan akan menjadi 30 tahun sejak 'kesalahan floating point' Intel menjadi berita utama dan menyebabkan Intel melakukan penarikan kembali chip-chipnya (berpotensi menghindari tuntutan hukum). Sejak saat itu tanggung jawab hukum menjadi tidak jelas lagi, karena akan selalu ada kasus-kasus kecil dan kesalahan kecil yang tidak akan mencapai tingkat tanggung jawab hukum,” kata Gallagher.

Dan terlepas dari apakah Intel salah atau tidak, bug saluran samping yang kompleks dengan konsekuensi terbatas bagi sebagian besar pemilik komputer tidak memberikan solusi yang jelas untuk membalikkan tren ini. “Jika hal ini merupakan kelemahan yang dieksploitasi secara luas dan sebenarnya bisa dicegah, hal ini mungkin akan menimbulkan tanggung jawab hukum, namun tanpa hal tersebut, hal ini hanyalah contoh lain bagaimana bahkan dengan pengujian dan desain produk yang paling ketat sekalipun, kelemahan akan tetap terjadi,” ujarnya. .

“Jika setiap serangan saluran samping yang mengeksploitasi kelemahan arsitektur tingkat chip diajukan sebagai kasus hukum,” ia menyimpulkan, “persidangan akan meluap.”

Bathaee Dunne LLP, mewakili jaksa, menolak berkomentar mengenai cerita ini. Dark Reading juga menghubungi Intel, yang belum merespons hingga publikasi ini.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug