Intel เผชิญคดีความเกี่ยวกับข้อบกพร่อง 'Downfall' โดยเรียกร้องเงิน 10 ดอลลาร์ต่อโจทก์

เผยแพร่ซ้ำโดยเพลโต

ผู้ติดตาม: 0

มีการยื่นเรื่องร้องเรียนในชั้นเรียนต่อ Intel ในสัปดาห์นี้เกี่ยวกับการจัดการข้อบกพร่องของข้อมูลรั่วไหลใน CPU

In การยื่นเอกสาร 112 หน้า กับแผนกซานโฮเซ่ของศาลแขวงสหรัฐอเมริกาในเขตทางตอนเหนือของรัฐแคลิฟอร์เนีย โจทก์ตัวแทนห้าคนกล่าวหาว่าชิปยักษ์รู้เกี่ยวกับคำแนะนำที่ผิดพลาดซึ่งทำให้เกิดปัญหาเช่น ข้อผิดพลาด “การล่มสลาย” ล่าสุด ครึ่งทศวรรษก่อนที่จะมีการเปิดตัวโปรแกรมแก้ไขใดๆ ก็ตาม

การตัดสินว่าความประมาทเลินเล่อของ Intel ถือเป็นความผิดทางกฎหมายหรือไม่อาจมีความซับซ้อน และอาจมีผลกระทบในวงกว้างสำหรับอุตสาหกรรมเทคโนโลยี

“การไม่มีข้อบกพร่องถือเป็นความต้องการที่ไม่สมจริง” John Gallagher รองประธานของ Viakoo Labs ที่ Viakoo กล่าว “หากข้อมูลของฉันถูกขโมยเพราะผู้ขายไม่ได้ใช้โปรแกรมแก้ไขในเวลาที่เหมาะสม ฉันควรจะฟ้องร้องพวกเขาได้ เพราะความประมาทเลินเล่อ”

Intel จัดการกับปัญหาชิปของตนอย่างไร

ความหายนะเป็นชื่อที่ตั้งให้ CVE-2022-40982ซึ่งเป็นช่องโหว่การเปิดเผยข้อมูล CVSS ระดับปานกลางระดับ 6.5 ใน CPU รุ่นที่หกถึงสิบเอ็ดของ Intel ตามที่นักวิจัยของ Google เปิดเผยในงาน Black Hat เมื่อเดือนสิงหาคมปีที่แล้ว ผู้โจมตีสามารถใช้ประโยชน์จากคำสั่งที่มีช่องโหว่ โปรเซสเซอร์ใช้สำหรับการดำเนินการเก็งกำไร เพื่อเข้าถึงข้อมูลสิทธิพิเศษจากผู้ใช้รายอื่นในสภาพแวดล้อมการใช้คอมพิวเตอร์ที่ใช้ร่วมกัน

แม้ว่าจะมีอยู่ในคอมพิวเตอร์นับล้านหรือหลายพันล้านเครื่องทั่วโลก (Intel เพลิดเพลิน ตลาดซีพียู x86 ส่วนใหญ่ทั่วโลก) “ในระดับบุคคล สิ่งนี้จะไม่ส่งผลกระทบต่อคนส่วนใหญ่ มันเป็นการหาประโยชน์ที่ค่อนข้างซับซ้อนและขึ้นอยู่กับผู้ใช้ที่แชร์คอมพิวเตอร์หรือสภาพแวดล้อมคลาวด์” กัลลาเกอร์กล่าว

แม้ว่านักวิจัยของ Google จะนำ Downfall มาเป็นที่สนใจในเดือนสิงหาคม แต่คดีใหม่กลับชี้ไปไกลกว่านั้น

ใน 2018, ผู้ชื่นชอบฮาร์ดแวร์ได้ตีพิมพ์ผลการวิจัย แสดงให้เห็นถึงช่องโหว่ในการดำเนินการชั่วคราวแบบ Downfall ใน CPU ของ Intel มันคล้ายกับข้อบกพร่องของชิปตัวอื่นที่น่าอับอายกว่า — Spectre และ Meltdown — และยัง อีกกรณีที่คล้ายกัน - NetSpectre - เกิดขึ้นในช่วงเวลาเดียวกัน

“อย่างไรก็ตาม แม้จะมีการเปิดเผยช่องโหว่หลายครั้ง (ที่เปิดเผยต่อสาธารณะ) กับ Intel ในเรื่องนี้ แต่ Intel ไม่ได้วิเคราะห์ผลข้างเคียงที่เป็นไปได้ [sic] อย่างรอบคอบใน AVX ISA และโซลูชันฮาร์ดแวร์ทางวิศวกรรมเพื่อแก้ไขในปี 2018 หรือในปี 2019 หรือ 2020 หรือ 2021 หรือ 2022 แต่ Intel ให้ความสำคัญกับผลกำไรเป็นอันดับแรก โดยขาย CPU ที่มีข้อบกพร่องมานานหลายปีหลังจากที่ทราบชัดเจนว่ามีข้อบกพร่อง” คำร้องเรียนระบุ

เพื่อให้สอดคล้องกับการเปิดเผยของ Black Hat ในปีนี้ Intel ปล่อยแพทช์สำหรับ Downfall. แต่การร้องเรียนชี้ให้เห็นว่าแพตช์นั้นลดความเร็วในการประมวลผลลงถึงระดับที่ “โจทก์เหลือเพียง CPU ที่มีข้อบกพร่องซึ่งเสี่ยงต่อการถูกโจมตีอย่างร้ายแรงหรือต้องช้าลงเกินกว่าจะยอมรับได้ว่าจะ 'แก้ไข' พวกมันได้

สำหรับเรื่องนี้ การฟ้องร้องกำลังขอ "การบรรเทาทุกข์ทางการเงินต่อ Intel ซึ่งวัดได้จาก (ก) ค่าเสียหายจริงในจำนวนที่จะพิจารณาในการพิจารณาคดี หรือ (ข) ค่าเสียหายตามกฎหมายเป็นจำนวน 10,000 ดอลลาร์สำหรับโจทก์แต่ละราย"

Intel ควรต้องรับผิดทางกฎหมายหรือไม่?

เกณฑ์ที่การแก้ไขช่องโหว่ที่ไม่ดีกลายเป็นความประมาทเลินเล่อโดยสิ้นเชิงนั้นยังไม่ได้กำหนดไว้อย่างชัดเจนตามกฎหมาย

“ปีหน้าจะครบรอบ 30 ปีนับตั้งแต่ 'ข้อผิดพลาดจุดลอยตัว' ของ Intel ตกเป็นพาดหัวข่าว และทำให้ Intel ต้องเรียกคืนชิปของตน (มีศักยภาพเพื่อหลีกเลี่ยงการถูกพบว่าต้องรับผิดทางกฎหมาย) ตั้งแต่นั้นมา ความรับผิดทางกฎหมายก็ยังไม่ชัดเจนมากนัก เนื่องจากมักจะมีกรณีมุมฉากและข้อบกพร่องเล็กๆ น้อยๆ ซึ่งจะไม่เพิ่มขึ้นถึงระดับความรับผิดทางกฎหมาย” กัลลาเกอร์สะท้อนให้เห็น

และไม่ว่า Intel จะคิดผิดหรือไม่ก็ตาม ปัญหาด้าน side-channel ที่ซับซ้อนซึ่งมีผลกระทบที่จำกัดสำหรับเจ้าของคอมพิวเตอร์ส่วนใหญ่ไม่ได้ทำให้เกิดกรณีที่ชัดเจนที่สุดในการพลิกกลับแนวโน้มนี้ “หากนี่เป็นข้อบกพร่องที่ถูกใช้ประโยชน์อย่างกว้างขวางซึ่งสามารถป้องกันได้อย่างสมเหตุสมผล ก็อาจก่อให้เกิดความรับผิดทางกฎหมาย แต่หากไม่มีสิ่งนั้น มันก็เป็นเพียงอีกตัวอย่างหนึ่งของการทดสอบและการออกแบบผลิตภัณฑ์ที่เข้มงวดที่สุด ข้อบกพร่องก็จะเกิดขึ้น” เขากล่าว .

“หากการโจมตีทุกช่องทางที่ใช้ประโยชน์จากข้อบกพร่องทางสถาปัตยกรรมระดับชิปถูกนำมาเป็นคดีทางกฎหมาย” เขาสรุป “คดีคงจะล้นออกมา”

Bathaee Dunne LLP ซึ่งเป็นตัวแทนของฝ่ายโจทก์ ปฏิเสธที่จะแสดงความคิดเห็นสำหรับเรื่องนี้ Dark Reading ยังติดต่อกับ Intel ซึ่งยังไม่ได้ตอบกลับในเอกสารเผยแพร่นี้