英特尔面临“垮台”漏洞诉讼,每位原告索赔 10 万美元

英特尔面临“垮台”漏洞诉讼,每位原告索赔 10 万美元

时间戳记:10年2023月5日晚上12:XNUMX
源节点: 2969202

本周,有人针对英特尔对其 CPU 数据泄露漏洞的处理提出了集体诉讼。

In 112页的文件 在美国加利福尼亚州北区地方法院圣何塞分庭,五名代表原告指控这家芯片巨头知道错误指令,从而导致以下问题: 最近的“崩溃”错误, 五年前它实际上发布了任何类型的修复程序。

不过,确定英特尔的疏忽是否构成法律犯罪可能很复杂,并且可能对科技行业产生广泛的影响。

Viakoo 实验室副总裁 John Gallagher 表示:“永远不出现缺陷是一个不切实际的要求,但如果我的数据因为供应商没有及时应用补丁而被盗,我应该能够起诉他们因为疏忽。”

英特尔如何应对芯片困境

垮台是给的名字 CVE-2022-40982,英特尔第六代至第十一代CPU中的6.5中级CVSS级信息泄露漏洞。 正如谷歌研究人员在去年 XNUMX 月的黑帽大会上透露的那样,攻击者可以利用易受攻击的指令 用于推测执行的处理器 为了在共享计算环境中获得对其他用户的特权信息的访问。

尽管它存在于全世界数以百万计,甚至数十亿台计算机中(英特尔享有 占据全球 x86 CPU 市场的大部分份额),“在个人层面上,这不会影响大多数人; 这是一个相对复杂的漏洞利用,并且基于用户共享计算机或云环境,”加拉格尔指出。

虽然谷歌研究人员在八月份首次将《堕落》带入了人们的视线,但新的诉讼所指向的远不止于此。

2018年, 一位硬件爱好者发表了调查结果 演示 Intel CPU 中的 Downfall 式瞬时执行漏洞。 它与其他更臭名昭著的芯片错误类似 - 幽灵和崩溃 - 但是 另一个类似的案例——NetSpectre ——大约在同一时间出现。

“然而,尽管就该问题向英特尔披露了多个(众所周知的)漏洞,但英特尔并没有仔细分析 AVX ISA 中可能产生的副作用,也没有在 2018 年或 2019 年修复这些问题的工程硬件解决方案。 2020 年、2021 年或 2022 年。相反,英特尔将利润放在第一位,在清楚地知道有缺陷的 CPU 存在多年后,仍继续销售这些有缺陷的 CPU。”诉状称。

与今年黑帽事件的揭露相呼应, 英特尔发布了Downfall补丁。 但投诉指出,该补丁将处理速度降低到了这样的程度,以至于“原告留下了有缺陷的 CPU,这些 CPU 要么非常容易受到攻击,要么必须减慢到无法识别的程度才能‘修复’它们。”

为此,检方正在寻求“针对英特尔的经济救济,以以下较高者为准:(a) 实际损害赔偿金额将在审判中确定,或 (b) 法定损害赔偿金额为每位原告 10,000 美元。”

英特尔是否应该承担法律责任?

法律尚未明确规定漏洞修复不力达到何种程度即为彻底疏忽。

“明年将是英特尔‘浮点错误’成为头条新闻并导致英特尔召回其芯片(可能是为了避免被追究法律责任)以来的 30 年。 从那时起,法律责任就不太明确了,因为总会有一些特殊情况和小缺陷不会上升到法律责任的水平,”加拉格尔反思道。

无论英特尔是否错了,一个复杂的旁道错误对大多数计算机所有者来说影响有限,并不能成为扭转这一趋势的最明确的理由。 “如果这是一个被广泛利用的缺陷,可以合理地预防,那么它可能会引起法律责任,但如果没有这一点,这只是另一个例子,说明即使有最严格的测试和产品设计,缺陷也会发生,”他说。

“如果每一次利用芯片级架构缺陷的旁道攻击都作为法律案件提起,”他总结道,“案卷将会过多。”

代表检方的 Bathaee Dunne LLP 拒绝对此事发表评论。 Dark Reading 还联系了英特尔,但截至本文发布时,英特尔尚未做出回应。

时间戳记:

更多来自 暗读