На этой неделе против Intel был подан коллективный иск в связи с устранением ошибок, связанных с утечкой данных в ее процессорах.
In файл на 112 страницах В отделе Сан-Хосе Северного округа Калифорнии окружного суда США пять представителей истцов утверждают, что гигант-производитель микросхем знал о ошибочных инструкциях, которые привели к возникновению таких проблем, как недавняя ошибка «Downfall», за полдесятилетия до того, как оно действительно выпустило какое-либо исправление.
Однако определить, является ли халатность Intel правонарушением, может оказаться непросто, и это может иметь далеко идущие последствия для технологической отрасли.
«Никогда не иметь дефектов — это нереальное требование», — говорит Джон Галлахер, вице-президент Viakoo Labs в Viakoo, — «но если мои данные будут украдены из-за того, что поставщик не применил исправление своевременно, я смогу подать на них в суд». из-за халатности».
Как Intel справилась с проблемами чипов
Падение было именем, данным CVE-2022-40982, уязвимость раскрытия информации со средним рейтингом CVSS 6.5 в процессорах Intel с шестого по одиннадцатое поколение. Как показал исследователь Google на конференции Black Hat в августе прошлого года, злоумышленник может воспользоваться уязвимой инструкцией, процессоры используют для спекулятивного выполнения для получения доступа к конфиденциальной информации от других пользователей в общей вычислительной среде.
Хотя он существует в неисчислимых миллионах, даже миллиардах компьютеров по всему миру (Intel пользуется большая часть мирового рынка процессоров x86), «на индивидуальном уровне это не повлияет на большинство людей; это относительно сложный эксплойт, основанный на использовании пользователем компьютера или облачной среды», — отмечает Галлахер.
Хотя исследователь Google впервые привлек внимание к Downfall в августе, новый иск указывает на гораздо большее.
В 2018 энтузиаст аппаратного обеспечения опубликовал результаты демонстрация уязвимости временного выполнения в стиле Downfall в процессорах Intel. Это было похоже на другие, более печально известные ошибки в чипах — Призрак и расплавление - и все еще другой похожий случай — NetSpectre — возник примерно в то же время.
«Однако, несмотря на многочисленные (публично известные) раскрытия информации об уязвимостях, сделанные Intel по этому вопросу, Intel не провела тщательный анализ [sic] возможных побочных эффектов в AVX ISA и не разработала аппаратные решения для их исправления в 2018 году. Или в 2019 году, или 2020, или 2021, или 2022. Вместо этого Intel поставила прибыль на первое место, продавая дефектные процессоры в течение многих лет после того, как стало ясно, что они неисправны», — говорится в жалобе.
В соответствии с разоблачением Black Hat в этом году, Intel выпустила патч для Downfall. Но этот патч, как отмечается в жалобе, снижает скорость обработки до такой степени, что «истцы остаются с неисправными процессорами, которые либо крайне уязвимы для атак, либо их необходимо замедлить до неузнаваемости, чтобы их «исправить».
Для этого обвинение требует «денежной компенсации против Intel, измеряемой как большая из (а) фактического ущерба в сумме, которая будет определена в суде, или (б) установленного законом ущерба в размере 10,000 XNUMX долларов США для каждого истца».
Должна ли Intel нести юридическую ответственность?
Порог, при котором плохое устранение уязвимостей становится откровенной халатностью, пока еще четко не определен законом.
«В следующем году исполнится 30 лет с тех пор, как «ошибка с плавающей запятой» Intel попала в заголовки газет и заставила Intel отозвать свои чипы (возможно, чтобы избежать юридической ответственности). С тех пор юридическая ответственность стала не намного яснее, поскольку всегда будут нестандартные случаи и мелкие недостатки, которые не дойдут до уровня юридической ответственности», — размышляет Галлахер.
И независимо от того, была ли Intel не права, сложная ошибка побочного канала с ограниченными последствиями для большинства владельцев компьютеров не является очевидным аргументом в пользу перелома этой тенденции. «Если бы это был широко используемый недостаток, который можно было бы разумно предотвратить, это могло бы повлечь за собой юридическую ответственность, но без этого это просто еще один пример того, как даже при самом тщательном тестировании и проектировании продукта могут возникать дефекты», — говорит он. .
«Если бы каждая атака по побочному каналу, использующая архитектурный недостаток на уровне чипа, рассматривалась как судебное дело, — заключает он, — список дел был бы переполнен».
Компания Bathaee Dunne LLP, представляющая обвинение, отказалась комментировать эту историю. Dark Reading также обратилась к Intel, которая на момент публикации еще не ответила.
- SEO-контент и PR-распределение. Получите усиление сегодня.
- PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
- ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
- ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
- ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
- Источник: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug
- :имеет
- :является
- :нет
- 000
- 2018
- 2019
- 2020
- 2021
- 2022
- 30
- a
- в состоянии
- О нас
- доступ
- фактического соединения
- на самом деле
- плюс
- После
- против
- причислены
- всегда
- количество
- an
- и
- Другой
- любой
- Применить
- архитектурный
- МЫ
- около
- AS
- At
- атаковать
- нападки
- Август
- избежать
- AVX
- b
- назад
- основанный
- BE
- , так как:
- становится
- было
- до
- не являетесь
- Beyond
- миллиарды
- Черный
- Black Hat
- принес
- Ошибка
- ошибки
- но
- by
- Калифорния
- осторожно
- случаев
- случаев
- вызванный
- чип
- чипсы
- понятнее
- явно
- облако
- CO
- комментарий
- жалоба
- комплекс
- сложный
- компьютер
- компьютеры
- вычисление
- заключает
- Последствия
- Corner
- может
- корт
- ЦП
- темно
- Темное чтение
- данным
- десятилетие
- определенный
- Степень
- Спрос
- демонстрирующий
- Проект
- Несмотря на
- определены
- DID
- раскрытие
- Раскрытие информации
- район
- районный суд
- Разделение
- do
- Безразлично
- вниз
- падение
- каждый
- или
- включен
- Проект и
- энтузиаст
- Окружающая среда
- ошибка
- Эфир (ETH)
- Даже
- Каждая
- пример
- выполнение
- существует
- Эксплуатировать
- Эксплуатируемый
- лица
- далеко
- неисправный
- подано
- Во-первых,
- 5
- фиксированный
- недостаток
- недостатки
- плавающий
- Что касается
- найденный
- от
- далее
- Gain
- гигант
- Дайте
- данный
- Глобальный
- большой
- Половина
- Управляемость
- происходить
- Аппаратные средства
- имеет
- Есть
- имеющий
- he
- Последние новости
- Герой
- Удар
- Как
- Однако
- HTML
- HTTP
- HTTPS
- i
- if
- Влияние
- in
- individual
- промышленность
- позорный
- информация
- вместо
- инструкции
- Intel
- в
- вопросы
- IT
- ЕГО
- John
- JPG
- всего
- Вид
- Labs
- Фамилия
- закон
- судебный процесс
- оставил
- Юр. Информация
- юридически
- уровень
- ответственность
- центр внимания
- Ограниченный
- ТОО
- сделанный
- Большинство
- сделать
- способ
- Май..
- измеренный
- может быть
- миллионы
- небольшая
- монетарный
- БОЛЕЕ
- самых
- много
- с разными
- должен
- my
- имя
- никогда
- Новые
- новый иск
- следующий
- NIST
- Заметки
- of
- on
- or
- заказ
- Другое
- внешний
- прямой
- за
- Владельцы
- Патчи
- Люди
- для
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- Точка
- пунктов
- состояния потока
- возможное
- потенциально
- президент
- привилегированный
- обработка
- Продукт
- дизайн продукта
- доходы
- ПРЕСЛЕДОВАНИЕ
- Публикация
- опубликованный
- положил
- последствия
- достиг
- Reading
- последний
- признание
- снижает
- отражает
- относительно
- выпустил
- помощь
- представитель
- представляющий
- исследователь
- Показали
- откровение
- обратный
- тщательный
- Рост
- s
- то же
- Сан -
- Сан - Хосе
- говорит
- поиск
- продажа
- общие
- разделение
- должен
- аналогичный
- с
- шестой
- Решения
- спекулятивный
- скорость
- Области
- украли
- История
- предмет
- такие
- предъявлять иск
- T
- взять
- Технологии
- Тестирование
- чем
- который
- Ассоциация
- Их
- тогда
- Там.
- этой
- На этой неделе
- В этом году
- хоть?
- порог
- время
- своевременно
- в
- тенденция
- суд
- Объединенный
- США
- Untold
- использование
- Информация о пользователе
- пользователей
- продавец
- очень
- вице
- вице-президент
- уязвимость
- Уязвимый
- законопроект
- неделя
- были
- будь то
- , которые
- широко
- будете
- без
- по всему миру
- бы
- Неправильно
- год
- лет
- еще
- зефирнет