Intel phải đối mặt với vụ kiện lỗi 'Sụp đổ', đòi 10 nghìn đô la cho mỗi nguyên đơn

Một đơn khiếu nại tập thể đã được đệ trình chống lại Intel trong tuần này về việc xử lý các lỗi rò rỉ dữ liệu trong CPU của họ.

In một hồ sơ dài 112 trang với Phân khu San Jose của Quận Bắc California của Tòa án Quận Hoa Kỳ, năm nguyên đơn đại diện đang cáo buộc rằng gã khổng lồ chip đã biết về các hướng dẫn bị lỗi dẫn đến các vấn đề như lỗi “Downfall” gần đây, nửa thập kỷ trước khi nó thực sự đưa ra bất kỳ bản sửa lỗi nào.

Tuy nhiên, việc xác định liệu sơ suất của Intel có cấu thành hành vi vi phạm pháp luật hay không có thể phức tạp và có thể gây ra những hậu quả sâu rộng cho ngành công nghệ.

John Gallagher, phó chủ tịch Viakoo Labs tại Viakoo cho biết: “Không bao giờ có lỗ hổng là một nhu cầu phi thực tế”, nhưng “nếu dữ liệu của tôi bị đánh cắp do nhà cung cấp không áp dụng bản vá kịp thời, tôi có thể kiện họ”. vì sơ suất.”

Intel đã xử lý những vấn đề về chip của mình như thế nào

Sự sụp đổ là cái tên được đặt cho CVE-2022-40982, lỗ hổng tiết lộ thông tin được xếp hạng CVSS ở mức trung bình 6.5 trong CPU thế hệ thứ sáu đến thứ mười một của Intel. Như một nhà nghiên cứu của Google đã tiết lộ tại Black Hat vào tháng XNUMX năm ngoái, kẻ tấn công có thể lợi dụng một hướng dẫn dễ bị tấn công. bộ xử lý sử dụng để thực hiện suy đoán để có được quyền truy cập vào thông tin đặc quyền từ những người dùng khác trong môi trường điện toán dùng chung.

Mặc dù nó tồn tại trong hàng triệu, thậm chí hàng tỷ máy tính trên toàn thế giới (Intel thích phần lớn thị trường CPU x86 toàn cầu), “ở cấp độ cá nhân, điều này sẽ không ảnh hưởng đến hầu hết mọi người; đây là một cách khai thác tương đối phức tạp và dựa trên việc người dùng chia sẻ máy tính hoặc môi trường đám mây”, Gallagher lưu ý.

Trong khi nhà nghiên cứu của Google lần đầu tiên đưa Downfall ra ánh đèn sân khấu vào tháng XNUMX, thì vụ kiện mới lại chỉ ra xa hơn thế.

Trong 2018, một người đam mê phần cứng đã công bố những phát hiện chứng minh lỗ hổng thực thi tạm thời kiểu Downfall trong CPU Intel. Nó tương tự như những lỗi chip khét tiếng khác — Spectre và Meltdown - và chưa một trường hợp khác, tương tự - NetSpectre - nảy sinh vào khoảng thời gian đó.

“Tuy nhiên, mặc dù đã tiết lộ nhiều lỗ hổng (được công khai) cho Intel về chủ đề này, Intel đã không phân tích cẩn thận[sic] các tác dụng phụ có thể xảy ra trong AVX ISA và các giải pháp phần cứng kỹ thuật để khắc phục chúng vào năm 2018. Hoặc vào năm 2019, hoặc 2020, 2021 hoặc 2022. Thay vào đó, Intel đặt lợi nhuận lên hàng đầu, bán CPU bị lỗi trong nhiều năm sau khi biết rõ chúng bị lỗi”, đơn khiếu nại nêu rõ.

Đồng tình với tiết lộ về Mũ Đen năm nay, Intel phát hành bản vá cho Downfall. Nhưng bản vá đó, đơn khiếu nại chỉ ra, làm giảm tốc độ xử lý đến mức “các nguyên đơn chỉ còn lại những CPU bị lỗi, rất dễ bị tấn công hoặc phải làm chậm lại đến mức không thể nhận ra để 'sửa' chúng."

Về vấn đề này, cơ quan công tố đang tìm kiếm “sự đền bù bằng tiền đối với Intel được tính bằng mức lớn hơn (a) thiệt hại thực tế với số tiền được xác định tại phiên tòa hoặc (b) thiệt hại theo luật định với số tiền 10,000 USD cho mỗi nguyên đơn”.

Intel có nên chịu trách nhiệm pháp lý không?

Ngưỡng mà việc khắc phục lỗ hổng yếu kém trở thành sự cẩu thả hoàn toàn vẫn chưa được pháp luật xác định rõ ràng.

“Năm tới sẽ là tròn 30 năm kể từ khi 'lỗi dấu phẩy động' của Intel gây chấn động dư luận và khiến Intel phải thu hồi các chip của mình (có thể để tránh bị buộc phải chịu trách nhiệm pháp lý). Kể từ đó, trách nhiệm pháp lý không rõ ràng hơn nhiều, vì sẽ luôn có những trường hợp phức tạp và sai sót nhỏ sẽ không đến mức trách nhiệm pháp lý,” Gallagher phản ánh.

Và dù Intel có sai hay không thì một lỗi kênh bên phức tạp với những hậu quả hạn chế đối với hầu hết chủ sở hữu máy tính không phải là trường hợp rõ ràng nhất để đảo ngược xu hướng này. Ông nói: “Nếu đây là một lỗ hổng được khai thác rộng rãi và có thể được ngăn chặn một cách hợp lý thì nó có thể làm phát sinh trách nhiệm pháp lý, nhưng nếu không có điều đó thì đó chỉ là một ví dụ khác về việc ngay cả với quá trình kiểm tra và thiết kế sản phẩm nghiêm ngặt nhất, các sai sót vẫn có thể xảy ra”. .

Ông kết luận: “Nếu mọi cuộc tấn công kênh bên khai thác lỗ hổng kiến ​​trúc cấp chip đều được đưa ra như một vụ kiện pháp lý, thì các sổ ghi sẽ bị tràn.”

Bathaee Dunne LLP, đại diện cho bên công tố, từ chối bình luận về câu chuyện này. Dark Reading cũng đã liên hệ với Intel nhưng công ty vẫn chưa phản hồi tính đến thời điểm xuất bản này.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug