Intel affronta una causa per bug "Rownfall", chiedendo $ 10 per querelante

Questa settimana è stata presentata una denuncia collettiva contro Intel per la sua gestione dei bug che causano perdite di dati nelle sue CPU.

In un documento di 112 pagine presso la Divisione di San Jose del Distretto settentrionale della California della Corte distrettuale degli Stati Uniti, cinque ricorrenti rappresentativi sostengono che il gigante dei chip era a conoscenza di istruzioni errate che hanno consentito problemi come il recente bug "Caduta", mezzo decennio prima che rilasciasse effettivamente qualsiasi tipo di correzione.

Tuttavia, determinare se la negligenza di Intel costituisca un reato legale può essere complicato e potrebbe avere conseguenze di ampia portata per il settore tecnologico.

"Non avere mai un difetto è un'esigenza irrealistica", afferma John Gallagher, vicepresidente di Viakoo Labs presso Viakoo, ma "se i miei dati vengono rubati perché un fornitore non ha applicato una patch in modo tempestivo, dovrei essere in grado di denunciarli". per negligenza”.

Come Intel ha gestito i problemi relativi ai chip

Caduta era il nome dato a CVE-2022-40982, una vulnerabilità di divulgazione di informazioni con punteggio CVSS medio di 6.5 nelle CPU Intel dalla sesta all'undicesima generazione. Come ha rivelato un ricercatore di Google al Black Hat dello scorso agosto, un utente malintenzionato potrebbe trarre vantaggio da un'istruzione vulnerabile i processori utilizzano per l'esecuzione speculativa al fine di ottenere l'accesso a informazioni privilegiate da altri utenti in un ambiente informatico condiviso.

Sebbene esista in innumerevoli milioni, addirittura miliardi, di computer in tutto il mondo (a Intel piace la maggioranza del mercato globale delle CPU x86), “a livello individuale ciò non avrà alcun impatto sulla maggior parte delle persone; si tratta di un exploit relativamente complesso e si basa sulla condivisione da parte di un utente di un computer o di un ambiente cloud", osserva Gallagher.

Mentre il ricercatore di Google ha portato Downfall alla ribalta per la prima volta in agosto, la nuova causa punta ben oltre.

Nel 2018, un appassionato di hardware ha pubblicato i risultati dimostrando la vulnerabilità dell'esecuzione transitoria in stile Downfall nelle CPU Intel. Era simile ad altri bug dei chip più famigerati: Spettro e fusione - e ancora un altro caso simile: NetSpectre - è nato più o meno nello stesso periodo.

"Tuttavia, nonostante le molteplici divulgazioni di vulnerabilità (note al pubblico) fornite a Intel sull'argomento, Intel non ha analizzato attentamente [sic] i possibili effetti collaterali nell'ISA AVX e non ha progettato soluzioni hardware per risolverli nel 2018. O nel 2019, o 2020, o 2021, o 2022. Invece, Intel ha messo al primo posto i profitti, vendendo CPU difettose per anni dopo aver chiaramente saputo che erano difettose”, si legge nella denuncia.

In concomitanza con la rivelazione di Black Hat quest'anno, Intel ha rilasciato una patch per Downfall. Ma quella patch, sottolinea la denuncia, riduce la velocità di elaborazione a tal punto che "i querelanti si ritrovano con CPU difettose che sono estremamente vulnerabili agli attacchi o devono essere rallentate fino a diventare irriconoscibili per 'ripararle'."

Per questo, l'accusa chiede "un risarcimento pecuniario contro Intel misurato come il maggiore tra (a) danni effettivi per un importo da determinare durante il processo o (b) danni legali per un importo di $ 10,000 per ciascun querelante".

Intel dovrebbe essere ritenuta legalmente responsabile?

La soglia oltre la quale una scarsa bonifica delle vulnerabilità diventa una vera e propria negligenza non è ancora chiaramente definita dalla legge.

“L'anno prossimo saranno 30 anni da quando l'errore in virgola mobile di Intel ha fatto notizia e ha costretto Intel a ritirare i suoi chip (potenzialmente per evitare di essere ritenuta legalmente responsabile). Da allora la responsabilità legale non è più molto chiara, poiché ci saranno sempre casi limite e difetti minori che non raggiungeranno il livello di responsabilità legale”, riflette Gallagher.

E che Intel avesse o meno torto, un complesso bug del canale laterale con conseguenze limitate per la maggior parte dei possessori di computer non rappresenta il caso più chiaro per invertire questa tendenza. "Se questo fosse un difetto ampiamente sfruttato che avrebbe potuto essere ragionevolmente prevenuto, potrebbe dar luogo a responsabilità legale, ma senza di esso è solo un altro esempio di come, anche con i test e la progettazione del prodotto più rigorosi, si possono verificare dei difetti", afferma .

"Se ogni attacco side-channel che sfrutta un difetto architetturale a livello di chip fosse portato come causa legale", conclude, "i documenti sarebbero traboccanti".

Bathaee Dunne LLP, che rappresenta l'accusa, ha rifiutato di commentare questa storia. Dark Reading ha contattato anche Intel, che non ha ancora risposto al momento di questa pubblicazione.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug