本周,有人针对英特尔对其 CPU 数据泄露漏洞的处理提出了集体诉讼。
In 112页的文件 在美国加利福尼亚州北区地方法院圣何塞分庭,五名代表原告指控这家芯片巨头知道错误指令,从而导致以下问题: 最近的“崩溃”错误, 五年前它实际上发布了任何类型的修复程序。
不过,确定英特尔的疏忽是否构成法律犯罪可能很复杂,并且可能对科技行业产生广泛的影响。
Viakoo 实验室副总裁 John Gallagher 表示:“永远不出现缺陷是一个不切实际的要求,但如果我的数据因为供应商没有及时应用补丁而被盗,我应该能够起诉他们因为疏忽。”
英特尔如何应对芯片困境
垮台是给的名字 CVE-2022-40982,英特尔第六代至第十一代CPU中的6.5中级CVSS级信息泄露漏洞。 正如谷歌研究人员在去年 XNUMX 月的黑帽大会上透露的那样,攻击者可以利用易受攻击的指令 用于推测执行的处理器 为了在共享计算环境中获得对其他用户的特权信息的访问。
尽管它存在于全世界数以百万计,甚至数十亿台计算机中(英特尔享有 占据全球 x86 CPU 市场的大部分份额),“在个人层面上,这不会影响大多数人; 这是一个相对复杂的漏洞利用,并且基于用户共享计算机或云环境,”加拉格尔指出。
虽然谷歌研究人员在八月份首次将《堕落》带入了人们的视线,但新的诉讼所指向的远不止于此。
2018年, 一位硬件爱好者发表了调查结果 演示 Intel CPU 中的 Downfall 式瞬时执行漏洞。 它与其他更臭名昭著的芯片错误类似 - 幽灵和崩溃 - 但是 另一个类似的案例——NetSpectre ——大约在同一时间出现。
“然而,尽管就该问题向英特尔披露了多个(众所周知的)漏洞,但英特尔并没有仔细分析 AVX ISA 中可能产生的副作用,也没有在 2018 年或 2019 年修复这些问题的工程硬件解决方案。 2020 年、2021 年或 2022 年。相反,英特尔将利润放在第一位,在清楚地知道有缺陷的 CPU 存在多年后,仍继续销售这些有缺陷的 CPU。”诉状称。
与今年黑帽事件的揭露相呼应, 英特尔发布了Downfall补丁。 但投诉指出,该补丁将处理速度降低到了这样的程度,以至于“原告留下了有缺陷的 CPU,这些 CPU 要么非常容易受到攻击,要么必须减慢到无法识别的程度才能‘修复’它们。”
为此,检方正在寻求“针对英特尔的经济救济,以以下较高者为准:(a) 实际损害赔偿金额将在审判中确定,或 (b) 法定损害赔偿金额为每位原告 10,000 美元。”
英特尔是否应该承担法律责任?
法律尚未明确规定漏洞修复不力达到何种程度即为彻底疏忽。
“明年将是英特尔‘浮点错误’成为头条新闻并导致英特尔召回其芯片(可能是为了避免被追究法律责任)以来的 30 年。 从那时起,法律责任就不太明确了,因为总会有一些特殊情况和小缺陷不会上升到法律责任的水平,”加拉格尔反思道。
无论英特尔是否错了,一个复杂的旁道错误对大多数计算机所有者来说影响有限,并不能成为扭转这一趋势的最明确的理由。 “如果这是一个被广泛利用的缺陷,可以合理地预防,那么它可能会引起法律责任,但如果没有这一点,这只是另一个例子,说明即使有最严格的测试和产品设计,缺陷也会发生,”他说。
“如果每一次利用芯片级架构缺陷的旁道攻击都作为法律案件提起,”他总结道,“案卷将会过多。”
代表检方的 Bathaee Dunne LLP 拒绝对此事发表评论。 Dark Reading 还联系了英特尔,但截至本文发布时,英特尔尚未做出回应。
- :具有
- :是
- :不是
- 000
- 2018
- 2019
- 2020
- 2021
- 2022
- 30
- a
- Able
- 关于
- ACCESS
- 实际
- 通
- 优点
- 后
- 驳
- 还
- 时刻
- 量
- an
- 和
- 另一个
- 任何
- 使用
- 建筑的
- 保健
- 围绕
- AS
- At
- 攻击
- 攻击
- 八月
- 避免
- AVX
- b
- 背部
- 基于
- BE
- 因为
- 成为
- 很
- before
- 作为
- 超越
- 十亿美元
- 黑色
- 黑帽
- 带
- 问题
- 虫子
- 但是
- by
- 加州
- 小心
- 案件
- 例
- 造成
- 芯片
- 碎屑
- 更清晰
- 明确地
- 云端技术
- CO
- 评论
- 抱怨
- 复杂
- 复杂
- 一台
- 电脑
- 计算
- 总结
- 后果
- 角落
- 可以
- 法庭
- 中央处理器
- 黑暗
- 暗读
- data
- 十
- 定义
- 学位
- 需求
- 示范
- 设计
- 尽管
- 决心
- DID
- 泄露
- 披露
- 区
- 地方法院
- 您所属的事业部
- do
- 不会
- 向下
- 倒台
- 每
- 或
- 启用
- 工程师
- 爱好者
- 环境
- 错误
- 醚(ETH)
- 甚至
- 所有的
- 例子
- 执行
- 存在
- 利用
- 剥削
- 面孔
- 远
- 故障
- 提交
- 姓氏:
- 五
- 固定
- 缺陷
- 缺陷
- 漂浮的
- 针对
- 发现
- 止
- 进一步
- Gain增益
- 巨人
- 给
- 特定
- 全球
- 谷歌
- 更大的
- 半
- 处理
- 发生
- 硬件
- 帽子
- 有
- 有
- he
- 头条新闻
- 保持
- 击中
- 创新中心
- 但是
- HTML
- HTTP
- HTTPS
- i
- if
- 影响力故事
- in
- 个人
- 行业中的应用:
- 臭名昭著
- 信息
- 代替
- 说明
- 英特尔
- 成
- 问题
- IT
- 它的
- John
- JPG
- 只是
- 类
- 实验室
- 名:
- 法律
- 诉讼
- 左
- 法律咨询
- 法律上
- Level
- 责任
- 聚光灯
- 有限
- LLP
- 制成
- 多数
- 使
- 方式
- 可能..
- 测量
- 可能
- 百万
- 未成年人
- 货币
- 更多
- 最先进的
- 许多
- 多
- 必须
- my
- 姓名
- 决不要
- 全新
- 新诉讼
- 下页
- NIST
- of
- on
- or
- 秩序
- 其他名称
- 输出
- 彻底
- 超过
- 业主
- 打补丁
- 员工
- 为
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 点
- 点
- 贫困
- 可能
- 可能
- 总统
- 特权
- 处理
- 产品
- 产品设计
- 利润
- 起诉
- 出版物
- 出版
- 放
- 后果
- 达到
- 阅读
- 最近
- 承认
- 减少
- 反映
- 相对
- 发布
- 缓解
- 代表
- 代表
- 研究员
- 揭密
- 启示
- 反转
- 严格
- 上升
- s
- 同
- 圣
- 圣何塞
- 说
- 寻求
- 卖房
- 共用的,
- 共享
- 应该
- 类似
- 自
- 第六
- 解决方案
- 投机
- 速度
- 州
- 被盗
- 故事
- 主题
- 这样
- 起诉
- T
- 采取
- 专业技术
- 测试
- 比
- 这
- 他们
- 然后
- 那里。
- Free Introduction
- 本星期
- 今年
- 虽然?
- 门槛
- 次
- 及时
- 至
- 趋势
- 试用
- 联合的
- 美国
- 数不清
- 使用
- 用户
- 用户
- 供应商
- 非常
- 副
- 副总裁
- 漏洞
- 脆弱
- 是
- 周
- 为
- 是否
- 这
- 广泛
- 将
- 也完全不需要
- 全世界
- 将
- 错误
- 年
- 年
- 但
- 和风网