انٹیل کو 'ڈاؤنفال' بگ مقدمہ کا سامنا ہے، فی مدعی $10K کی تلاش میں

انٹیل کو 'ڈاؤنفال' بگ مقدمہ کا سامنا ہے، فی مدعی $10K کی تلاش میں

ٹائم سٹیمپ: 10 نومبر 2023 5:12 PM
ماخذ نوڈ: 2969202

اس ہفتے انٹیل کے خلاف اس کے CPUs میں ڈیٹا لیک ہونے والے کیڑے سے نمٹنے پر ایک کلاس ایکشن کی شکایت درج کی گئی تھی۔

In 112 صفحات پر مشتمل فائلنگ ریاستہائے متحدہ کی ضلعی عدالت کے شمالی ضلع کیلیفورنیا کے سان ہوزے ڈویژن کے ساتھ، پانچ نمائندے مدعی یہ الزام لگا رہے ہیں کہ چپ دیو کو ناقص ہدایات کے بارے میں معلوم تھا جس نے اس طرح کے مسائل کو فعال کیا حالیہ "ڈاؤن فال" بگ، نصف دہائی پہلے اس نے حقیقت میں کسی بھی قسم کی فکس جاری کی۔

اس بات کا تعین کرنا کہ آیا انٹیل کی لاپرواہی قانونی جرم ہے، اگرچہ پیچیدہ ہو سکتی ہے، اور اس کے ٹیکنالوجی کی صنعت کے لیے وسیع پیمانے پر اثرات مرتب ہو سکتے ہیں۔

Viakoo میں Viako Labs کے نائب صدر جان گالاگھر کہتے ہیں، "کبھی بھی کوئی خامی نہ ہونا ایک غیر حقیقی مطالبہ ہے، لیکن "اگر میرا ڈیٹا چوری ہو جاتا ہے کیونکہ کسی وینڈر نے بروقت پیچ نہیں لگایا، تو مجھے ان پر مقدمہ کرنے کے قابل ہونا چاہیے۔ غفلت کی وجہ سے۔"

انٹیل نے اپنی چپ پریشانیوں کو کس طرح سنبھالا ہے۔

تنزلی کا نام دیا گیا تھا۔ CVE-2022-40982، انٹیل کے چھٹی سے گیارہویں نسل کے CPUs میں ایک 6.5 درمیانے درجے کی CVSS ریٹیڈ معلومات کے انکشاف کا خطرہ۔ جیسا کہ گوگل کے ایک محقق نے گزشتہ اگست کے بلیک ہیٹ میں انکشاف کیا تھا کہ حملہ آور ایک کمزور ہدایات کا فائدہ اٹھا سکتا ہے۔ پروسیسرز قیاس آرائی پر عمل درآمد کے لیے استعمال کرتے ہیں۔ مشترکہ کمپیوٹنگ ماحول میں دوسرے صارفین سے مراعات یافتہ معلومات تک رسائی حاصل کرنے کے لیے۔

اگرچہ یہ دنیا بھر میں لاکھوں، یہاں تک کہ اربوں، کمپیوٹرز میں موجود ہے (انٹیل لطف اندوز ہوتا ہے عالمی x86 CPU مارکیٹ کی اکثریت)، "انفرادی سطح پر یہ زیادہ تر لوگوں کو متاثر نہیں کرے گا۔ یہ ایک نسبتاً پیچیدہ استحصال ہے اور اس کی بنیاد کمپیوٹر یا کلاؤڈ ماحول کو شیئر کرنے والے صارف پر ہے،" گالاگھر نوٹ کرتا ہے۔

جب کہ گوگل کے محقق نے اگست میں پہلی بار ڈاون فال کو لائم لائٹ میں لایا، نیا مقدمہ اس سے کہیں آگے کی طرف اشارہ کرتا ہے۔

2018 میں ہارڈ ویئر کے شوقین نے نتائج شائع کیے۔ Intel CPUs میں ڈاون فال طرز کے عارضی نفاذ کے خطرے کو ظاہر کرنا۔ یہ دوسرے، زیادہ بدنام چپ کیڑے کی طرح تھا۔ سپیکٹر اور ملازمت - اور ابھی تک ایک اور، اسی طرح کا معاملہ — نیٹ سپیکٹر - اسی وقت کے ارد گرد پیدا ہوا.

"تاہم، اس موضوع پر Intel کو کیے گئے متعدد (عوامی طور پر معروف) خطرے کے انکشافات کے باوجود، Intel نے AVX ISA اور انجینئرنگ ہارڈویئر حل میں ممکنہ ضمنی اثرات کا احتیاط سے تجزیہ نہیں کیا تاکہ انہیں 2018 میں ٹھیک کیا جا سکے۔ یا 2019 میں، یا 2020، یا 2021، یا 2022۔ اس کے بجائے، Intel منافع کو پہلے رکھتا ہے، ناقص CPUs کو سالوں تک فروخت کرنے کے بعد جب اسے واضح طور پر معلوم تھا کہ وہ ناقص ہیں،" شکایت میں کہا گیا ہے۔

اس سال بلیک ہیٹ کے انکشاف کے موافق، انٹیل نے ڈاؤن فال کے لیے ایک پیچ جاری کیا۔. لیکن یہ پیچ، شکایت کی طرف اشارہ کرتا ہے، پروسیسنگ کی رفتار کو اس حد تک کم کر دیتا ہے کہ "مدعی کے پاس ناقص CPUs رہ جاتے ہیں جو یا تو حملوں کا شدید خطرہ ہوتے ہیں یا انہیں 'ٹھیک' کرنے کے لیے پہچان سے باہر سست ہونا ضروری ہے۔"

اس کے لیے، استغاثہ "انٹیل کے خلاف مانیٹری ریلیف کا مطالبہ کر رہا ہے جس کی پیمائش (a) مقدمے میں طے کی جانے والی رقم میں اصل نقصانات یا (b) ہر مدعی کے لیے $10,000 کی رقم میں قانونی نقصانات کے طور پر کی گئی ہے۔"

کیا انٹیل کو قانونی طور پر ذمہ دار ٹھہرایا جانا چاہئے؟

وہ حد جس پر کمزور کمزوری کا تدارک سراسر غفلت بن جاتا ہے ابھی تک قانون کے ذریعہ واضح طور پر بیان نہیں کیا گیا ہے۔

"اگلے سال 30 سال ہوں گے جب سے انٹیل کی 'فلوٹنگ پوائنٹ ایرر' نے سرخیوں کو نشانہ بنایا اور انٹیل کو اس کے چپس کو واپس بلانے پر مجبور کیا (ممکنہ طور پر قانونی طور پر ذمہ دار پائے جانے سے بچنے کے لیے)۔ اس کے بعد سے قانونی ذمہ داری زیادہ واضح نہیں ہے، کیونکہ ہمیشہ کارنر کیسز اور چھوٹی چھوٹی خامیاں ہوں گی جو قانونی ذمہ داری کی سطح تک نہیں بڑھیں گی،" گالاگھر عکاسی کرتا ہے۔

اور چاہے انٹیل غلط تھا یا نہیں، زیادہ تر کمپیوٹر مالکان کے لیے محدود نتائج کے ساتھ ایک پیچیدہ سائیڈ چینل بگ اس رجحان کو ریورس کرنے کے لیے واضح ترین کیس نہیں بناتا ہے۔ "اگر یہ ایک وسیع پیمانے پر استحصال کی گئی خامی تھی جسے معقول طور پر روکا جا سکتا تھا، تو یہ قانونی ذمہ داری کو جنم دے سکتا ہے، لیکن اس کے بغیر یہ صرف ایک اور مثال ہے کہ انتہائی سخت جانچ اور مصنوعات کے ڈیزائن کے باوجود، خامیاں کیسے واقع ہوں گی،" وہ کہتے ہیں۔ .

"اگر چپ سطح کی تعمیراتی خامی کا استحصال کرنے والے ہر سائیڈ چینل حملے کو قانونی کیس کے طور پر لایا جاتا ہے،" اس نے نتیجہ اخذ کیا، "ڈاکٹس بہت زیادہ ہو جائیں گے۔"

پراسیکیوشن کی نمائندگی کرنے والے Bathaee Dunne LLP نے اس کہانی پر تبصرہ کرنے سے انکار کر دیا۔ ڈارک ریڈنگ نے بھی انٹیل تک رسائی حاصل کی، جس نے ابھی تک اس اشاعت کا جواب نہیں دیا ہے۔

ٹائم اسٹیمپ:

سے زیادہ گہرا پڑھنا