Intel se confruntă cu un proces de eroare „cădere”, căutând 10 USD pentru fiecare reclamant

O plângere colectivă a fost depusă împotriva Intel săptămâna aceasta pentru gestionarea erorilor de scurgere de date în procesoarele sale.

In un dosar de 112 pagini cu Divizia San Jose a Districtului de Nord din California al Tribunalului Districtual al Statelor Unite, cinci reclamanți reprezentanți susțin că gigantul de cipuri știa despre instrucțiuni greșite care au permis probleme precum bug-ul recent „Downfall”, cu jumătate de deceniu înainte de a lansa de fapt orice fel de remediere.

Determinarea dacă neglijența Intel constituie o infracțiune legală poate fi totuși complicată și ar putea avea ramificații de anvergură pentru industria tehnologiei.

„A nu avea niciodată un defect este o cerere nerealistă”, spune John Gallagher, vicepreședintele Viakoo Labs la Viakoo, dar „dacă datele îmi sunt furate deoarece un furnizor nu a aplicat un patch în timp util, ar trebui să le pot da în judecată. din cauza neglijenței.”

Cum și-a gestionat Intel problemele legate de cipuri

Downfall era numele dat CVE-2022-40982, o vulnerabilitate de dezvăluire a informațiilor cu rating mediu CVSS de 6.5 în CPU-urile Intel din a șasea până la a unsprezecea generație. După cum a dezvăluit un cercetător Google la Black Hat din august trecut, un atacator ar putea profita de o instrucțiune vulnerabilă: procesoarele folosesc pentru execuția speculativă pentru a obține acces la informații privilegiate de la alți utilizatori într-un mediu de calcul partajat.

Deși există în milioane, chiar miliarde, nespus de computere din întreaga lume (Intel se bucură de o majoritate a pieței globale de procesoare x86), „la nivel individual acest lucru nu va afecta majoritatea oamenilor; este o exploatare relativ complexă și se bazează pe un utilizator care partajează un computer sau un mediu cloud”, notează Gallagher.

În timp ce cercetătorul Google a adus pentru prima dată Downfall în lumina reflectoarelor în august, noul proces arată cu mult mai departe decât atât.

În 2018, un pasionat de hardware a publicat descoperiri demonstrând vulnerabilitatea de execuție tranzitorie în stil Downfall în procesoarele Intel. Era asemănător cu alte bug-uri de cip mai infame - Spectrul și topirea - si totusi un alt caz similar — NetSpectre — a apărut cam în aceeași perioadă.

„Cu toate acestea, în ciuda multiplelor dezvăluiri de vulnerabilități (cunoscute public) făcute Intel pe această temă, Intel nu a analizat cu atenție [sic] posibilele efecte secundare în AVX ISA și soluții hardware de inginerie pentru a le remedia în 2018. Sau în 2019, sau 2020, sau 2021, sau 2022. În schimb, Intel a pus profiturile pe primul loc, vânzând procesoare defecte ani de zile după ce a știut în mod clar că acestea sunt defecte”, se arată în plângere.

În concordanță cu revelația Black Hat din acest an, Intel a lansat un patch pentru Downfall. Dar acel patch, subliniază plângerea, reduce vitezele de procesare într-o asemenea măsură încât „reclamanții rămân cu procesoare defecte, care fie sunt extrem de vulnerabile la atacuri, fie trebuie încetinite dincolo de recunoaștere pentru a le „remedia”.

Pentru aceasta, acuzarea solicită „despăgubiri bănești împotriva Intel, măsurată ca cea mai mare dintre (a) daune reale într-o sumă care urmează să fie stabilită în proces sau (b) daune legale în valoare de 10,000 USD pentru fiecare reclamant”.

Ar trebui Intel să fie tras la răspundere legală?

Pragul la care remedierea slabă a vulnerabilității devine neglijență totală nu este încă definit clar de lege.

„Anul viitor se vor împlini 30 de ani de când „eroarea în virgulă mobilă” Intel a ajuns în prima pagină a titlurilor și a determinat Intel să recheme cipurile sale (potențial pentru a evita să fie considerat răspunzător din punct de vedere legal). De atunci, răspunderea legală nu este mult mai clară, deoarece vor exista întotdeauna cazuri de colț și defecte minore care nu s-ar ridica la nivelul răspunderii legale”, reflectă Gallagher.

Și indiferent dacă Intel a greșit sau nu, o eroare complexă a canalului lateral cu consecințe limitate pentru majoritatea proprietarilor de computere nu face ca cazul cel mai clar să inverseze această tendință. „Dacă acesta ar fi fost un defect exploatat pe scară largă care ar fi putut fi prevenit în mod rezonabil, ar putea da naștere la răspundere legală, dar fără acesta este doar un alt exemplu al modului în care, chiar și cu cele mai riguroase teste și design de produs, defectele se vor întâmpla”, spune el. .

„Dacă fiecare atac pe canalul lateral care exploatează un defect arhitectural la nivel de cip ar fi adus ca caz legal”, conchide el, „dosarele ar fi depășite”.

Bathaee Dunne LLP, care reprezintă acuzarea, a refuzat să comenteze această poveste. Dark Reading a contactat și Intel, care nu a răspuns încă de la această publicație.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug