Intel столкнулась с иском о «падении» ошибок, требуя 10 тысяч долларов с истца

На этой неделе против Intel был подан коллективный иск в связи с устранением ошибок, связанных с утечкой данных в ее процессорах.

In файл на 112 страницах В отделе Сан-Хосе Северного округа Калифорнии окружного суда США пять представителей истцов утверждают, что гигант-производитель микросхем знал о ошибочных инструкциях, которые привели к возникновению таких проблем, как недавняя ошибка «Downfall», за полдесятилетия до того, как оно действительно выпустило какое-либо исправление.

Однако определить, является ли халатность Intel правонарушением, может оказаться непросто, и это может иметь далеко идущие последствия для технологической отрасли.

«Никогда не иметь дефектов — это нереальное требование», — говорит Джон Галлахер, вице-президент Viakoo Labs в Viakoo, — «но если мои данные будут украдены из-за того, что поставщик не применил исправление своевременно, я смогу подать на них в суд». из-за халатности».

Как Intel справилась с проблемами чипов

Падение было именем, данным CVE-2022-40982, уязвимость раскрытия информации со средним рейтингом CVSS 6.5 в процессорах Intel с шестого по одиннадцатое поколение. Как показал исследователь Google на конференции Black Hat в августе прошлого года, злоумышленник может воспользоваться уязвимой инструкцией, процессоры используют для спекулятивного выполнения для получения доступа к конфиденциальной информации от других пользователей в общей вычислительной среде.

Хотя он существует в неисчислимых миллионах, даже миллиардах компьютеров по всему миру (Intel пользуется большая часть мирового рынка процессоров x86), «на индивидуальном уровне это не повлияет на большинство людей; это относительно сложный эксплойт, основанный на использовании пользователем компьютера или облачной среды», — отмечает Галлахер.

Хотя исследователь Google впервые привлек внимание к Downfall в августе, новый иск указывает на гораздо большее.

В 2018 энтузиаст аппаратного обеспечения опубликовал результаты демонстрация уязвимости временного выполнения в стиле Downfall в процессорах Intel. Это было похоже на другие, более печально известные ошибки в чипах — Призрак и расплавление - и все еще другой похожий случай — NetSpectre — возник примерно в то же время.

«Однако, несмотря на многочисленные (публично известные) раскрытия информации об уязвимостях, сделанные Intel по этому вопросу, Intel не провела тщательный анализ [sic] возможных побочных эффектов в AVX ISA и не разработала аппаратные решения для их исправления в 2018 году. Или в 2019 году, или 2020, или 2021, или 2022. Вместо этого Intel поставила прибыль на первое место, продавая дефектные процессоры в течение многих лет после того, как стало ясно, что они неисправны», — говорится в жалобе.

В соответствии с разоблачением Black Hat в этом году, Intel выпустила патч для Downfall. Но этот патч, как отмечается в жалобе, снижает скорость обработки до такой степени, что «истцы остаются с неисправными процессорами, которые либо крайне уязвимы для атак, либо их необходимо замедлить до неузнаваемости, чтобы их «исправить».

Для этого обвинение требует «денежной компенсации против Intel, измеряемой как большая из (а) фактического ущерба в сумме, которая будет определена в суде, или (б) установленного законом ущерба в размере 10,000 XNUMX долларов США для каждого истца».

Должна ли Intel нести юридическую ответственность?

Порог, при котором плохое устранение уязвимостей становится откровенной халатностью, пока еще четко не определен законом.

«В следующем году исполнится 30 лет с тех пор, как «ошибка с плавающей запятой» Intel попала в заголовки газет и заставила Intel отозвать свои чипы (возможно, чтобы избежать юридической ответственности). С тех пор юридическая ответственность стала не намного яснее, поскольку всегда будут нестандартные случаи и мелкие недостатки, которые не дойдут до уровня юридической ответственности», — размышляет Галлахер.

И независимо от того, была ли Intel не права, сложная ошибка побочного канала с ограниченными последствиями для большинства владельцев компьютеров не является очевидным аргументом в пользу перелома этой тенденции. «Если бы это был широко используемый недостаток, который можно было бы разумно предотвратить, это могло бы повлечь за собой юридическую ответственность, но без этого это просто еще один пример того, как даже при самом тщательном тестировании и проектировании продукта могут возникать дефекты», — говорит он. .

«Если бы каждая атака по побочному каналу, использующая архитектурный недостаток на уровне чипа, рассматривалась как судебное дело, — заключает он, — список дел был бы переполнен».

Компания Bathaee Dunne LLP, представляющая обвинение, отказалась комментировать эту историю. Dark Reading также обратилась к Intel, которая на момент публикации еще не ответила.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug