Intel står inför "nedgång"-felprocess och kräver 10 XNUMX USD per kärande

En grupptalan lämnades in mot Intel denna vecka för dess hantering av dataläckande buggar i dess CPU:er.

In en fil på 112 sidor med San Jose Division i USA:s distriktsdomstols norra distrikt i Kalifornien, hävdar fem representativa målsäganden att chipjätten kände till felaktiga instruktioner som möjliggjorde sådana problem som det senaste "nedgångsfelet", ett halvt decennium innan det faktiskt släppte någon form av fix.

Att avgöra om Intels försumlighet utgör ett lagbrott kan dock vara komplicerat, och det kan få omfattande konsekvenser för teknikindustrin.

"Att aldrig ha ett fel är ett orealistiskt krav", säger John Gallagher, vice vd för Viakoo Labs på Viakoo, men "om min data blir stulen för att en leverantör inte har applicerat en patch i tid, borde jag kunna stämma dem på grund av vårdslöshet."

Hur Intel har hanterat sina chipproblem

Undergång var namnet på CVE-2022-40982, en 6.5 medelklassad CVSS-klassad informationssårbarhet i Intels sjätte till elfte generationens processorer. Som en Google-forskare avslöjade vid Black Hat i augusti förra året, kan en angripare dra nytta av en sårbar instruktion som processorer använder för spekulativt utförande för att få tillgång till privilegierad information från andra användare i en delad datormiljö.

Även om det finns i otaliga miljoner, till och med miljarder, datorer över hela världen (Intel tycker om en majoritet av den globala x86 CPU-marknaden), "på individnivå kommer detta inte att påverka de flesta människor; det är en relativt komplex exploatering och baseras på att en användare delar en dator eller molnmiljö”, konstaterar Gallagher.

Medan Google-forskaren först tog Downfall fram i rampljuset i augusti, pekar den nya rättegången tillbaka långt längre än så.

2018, en hårdvaruentusiast publicerade resultat demonstrerar nedgångsliknande övergående exekveringssårbarhet i Intel-processorer. Det liknade andra, mer ökända chip buggar - Spektrum och smältning - och ändå ett annat liknande fall — NetSpectre - uppstod ungefär samtidigt.

"Men trots flera (offentligt kända) avslöjanden av sårbarhet som gjorts till Intel i ämnet, analyserade inte Intel noggrant möjliga bieffekter i AVX ISA och tekniska hårdvarulösningar för att fixa dem 2018. Eller 2019, eller 2020, eller 2021, eller 2022. Istället satte Intel vinsten först och sålde defekta processorer i åratal efter att man tydligt visste att de var defekta”, står det i klagomålet.

I enlighet med Black Hat-avslöjandet i år, Intel släppte en patch för Downfall. Men den patchen, påpekar klagomålet, minskar bearbetningshastigheterna till en sådan grad att "kärande lämnas med defekta processorer som antingen är extremt sårbara för attacker eller måste saktas ner till oigenkännlighet för att "fixa" dem."

För detta söker åklagaren "monetär lättnad mot Intel mätt som det största av (a) faktiska skador till ett belopp som ska fastställas vid rättegången eller (b) lagstadgade skadestånd till ett belopp av $10,000 XNUMX för varje målsägande."

Bör Intel hållas juridiskt ansvarigt?

Tröskeln vid vilken dålig sårbarhetssanering blir ren oaktsamhet är ännu inte klart definierad i lag.

"Nästa år kommer att vara 30 år sedan Intels "flyttalsfel" slog in i rubrikerna och fick Intel att återkalla sina chips (potentiellt för att undvika att bli juridiskt ansvarig). Sedan dess är det juridiska ansvaret inte mycket tydligare, eftersom det alltid kommer att finnas hörnfall och mindre brister som inte skulle stiga till nivån för juridiskt ansvar, säger Gallagher.

Och oavsett om Intel hade fel eller inte, är en komplex sidokanalbugg med begränsade konsekvenser för de flesta datorägare inte det tydligaste fallet att vända denna trend. "Om detta vore en allmänt utnyttjad brist som rimligen hade kunnat förhindras, skulle det kunna ge upphov till juridiskt ansvar, men utan det är det bara ytterligare ett exempel på hur brister kommer att inträffa även med de mest rigorösa testerna och produktdesignerna", säger han .

"Om varje sidokanalsattack som utnyttjar en arkitektonisk brist på chipnivå skulle väckas som ett rättsligt ärende", avslutar han, "skulle dockorna vara överfulla."

Bathaee Dunne LLP, som representerar åklagaren, avböjde att kommentera denna berättelse. Dark Reading nådde också ut till Intel, som ännu inte har svarat vid denna publicering.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug