אינטל עומדת בפני תביעת באגים מסוג 'נפילה', המבקשת 10 אלף דולר לתובע

תלונה ייצוגית הוגשה נגד אינטל השבוע על הטיפול שלה בבאגים דליפת נתונים במעבדים שלה.

In קובץ של 112 עמודים עם חטיבת סן חוזה של בית המשפט המחוזי של ארצות הברית במחוז צפון של קליפורניה, חמישה תובעים מייצגים טוענים שענקית השבבים ידעה על הוראות שגויות שאיפשרו בעיות כמו באג "הירידה" האחרון, חצי עשור לפני שהוא באמת שיחרר כל סוג של תיקון.

הקביעה אם רשלנותה של אינטל מהווה עבירה משפטית עשויה להיות מסובכת, ויכולות להיות לה השלכות רחבות היקף על תעשיית הטכנולוגיה.

"לעולם לא להיות פגם זו דרישה לא מציאותית", אומר ג'ון גלאגר, סגן נשיא Viakoo Labs ב-Viakoo, אבל "אם הנתונים שלי ייגנבו בגלל שספק לא החיל תיקון בזמן, אני אמור להיות מסוגל לתבוע אותם בגלל רשלנות".

כיצד טיפלה אינטל בבעיות השבבים שלה

נפילה היה השם שניתן לו CVE-2022-40982, פגיעות של גילוי מידע בדירוג CVSS בדירוג בינוני של 6.5 במעבדי הדור השישי עד האחד-עשר של אינטל. כפי שחשף חוקר גוגל ב-Black Hat באוגוסט האחרון, תוקף יכול לנצל הוראה פגיעה מעבדים משתמשים לביצוע ספקולטיבי על מנת לקבל גישה למידע מוגן ממשתמשים אחרים בסביבת מחשוב משותפת.

למרות שהוא קיים במיליוני, אפילו מיליארדים, של מחשבים ברחבי העולם (אינטל נהנית רוב שוק המעבדים x86 העולמי), "ברמת הפרט זה לא ישפיע על רוב האנשים; זהו ניצול מורכב יחסית ומבוסס על משתמש שחולק סביבת מחשב או ענן", מציין גלאגר.

בעוד החוקר של גוגל הביא לראשונה את Downfall לאור הזרקורים באוגוסט, התביעה החדשה מצביעה אחורה הרבה יותר מזה.

ב2018, חובב חומרה פרסם ממצאים הדגמת פגיעות של ביצוע חולף בסגנון נפילה במעבדי אינטל. זה היה דומה לבאגי שבבים אחרים, ידועים יותר לשמצה - ספקטר ומלדטאון - ועדיין מקרה נוסף, דומה - NetSpectre - התעורר בערך באותו זמן.

"עם זאת, למרות גילויי פגיעות מרובים (ידועים בציבור) שנמסרו לאינטל בנושא, אינטל לא ניתחה בקפידה את תופעות הלוואי האפשריות ב-AVX ISA ופתרונות חומרה הנדסיים כדי לתקן אותן ב-2018. או ב-2019, או 2020, או 2021, או 2022. במקום זאת, אינטל שמה את הרווחים במקום הראשון, מכרה מעבדים פגומים במשך שנים לאחר שידעה בבירור שהם פגומים", נכתב בתלונה.

במקביל לחשיפת הכובע השחור השנה, אינטל פרסמה תיקון עבור Downfall. אבל התיקון הזה, מציינת התלונה, מפחית את מהירויות העיבוד עד כדי כך ש"תובעים נשארים עם מעבדים פגומים שפגיעים מאוד להתקפות או שיש להאט אותם ללא הכר כדי 'לתקן' אותם".

בגין כך מבקשת התביעה "סעד כספי נגד אינטל הנמדד כגדול מבין (א) פיצויים בפועל בסכום שייקבע במשפט או (ב) פיצויים סטטוטוריים בסך 10,000 דולר לכל תובע".

האם אינטל צריכה לשאת באחריות משפטית?

הסף שבו תיקון פגיעות לקוי הופך לרשלנות מוחלטת אינו מוגדר עדיין בבירור בחוק.

"בשנה הבאה יחלפו 30 שנה מאז ש'שגיאת הנקודה הצפה' של אינטל עלתה לכותרות וגרמה לאינטל לבצע ריקול של השבבים שלה (אולי כדי להימנע מהימצאות באחריות משפטית). מאז האחריות המשפטית לא ברורה הרבה יותר, שכן תמיד יהיו מקרים פינתיים ופגמים קלים שלא יעלו לרמת האחריות המשפטית", משקף גלאגר.

ובין אם אינטל טעתה ובין אם לא, באג מורכב בערוץ צדדי עם השלכות מוגבלות עבור רוב בעלי המחשבים אינו גורם למקרה המובהק ביותר להפוך את המגמה הזו. "אם זה היה פגם מנוצל באופן נרחב שניתן היה למנוע באופן סביר, זה עלול להוביל לאחריות משפטית, אבל בלי זה זו רק דוגמה נוספת לכך שאפילו עם הבדיקות והעיצוב הקפדניים ביותר של המוצר, פגמים יקרו", הוא אומר. .

"אם כל התקפת ערוץ צדדי המנצלת פגם ארכיטקטוני ברמת השבב הייתה מובאת כתיק משפטי", הוא מסכם, "המארגנים היו עולים על גדותיהם".

Bathaee Dunne LLP, המייצגת את התביעה, סירבה להגיב לסיפור הזה. Dark Reading הגיעה גם לאינטל, שעדיין לא הגיבה נכון לפרסום זה.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug