在我们进入诉讼之前,让我们回顾一下什么是Downfall。 如前所述此漏洞特别影响使用AVX2/AVX-512收集指令的工作负载。 Intel透露Downfall对旧一代Tiger Lake/Ice Lake产品线影响较大。 简而言之该漏洞会泄漏硬件注册表内容,可能导致大规模资料被盗。 由于行业中的漏洞相当普遍,因此这并不被视为公司的过错,而且通常很快就会采取缓解措施。
然而根据The Register报道,五名Intel CPU买家提起的诉讼声称,Intel自2018年以来就意识到了AVX侧通道漏洞。 此外该公司直到Downfall才倾向于修复架构中的循环被发现后,不仅使数百万用户的安全面临风险,而且该漏洞的后果还导致性能下降50%。 以下是The Registe 的报告如何总结五年前Downfall的存在实际上是如何开始的:
诉状称2018年夏天,当Intel处理Spectre和Meltdown时,该制造商收到了来自第三方研究人员的两份单独的漏洞报告,警告该微处理器龙头的高级矢量扩展(AVX)指令集——该指令集允许Intel CPU核心同时对多个数据执行操作,从而提高性能——与其他两个严重缺陷一样,很容易受到同类旁道攻击。
文件提交者提出的论点表明,Intel很早就意识到了这个漏洞,并且尽管五年前就知道漏洞的潜在存在,但该公司并未采取任何措施来修复它。 此外据称Intel还实施了与这些指令相关的秘密缓冲区,基本上是为了暂时抑制漏洞的威胁。 这不但没有解决问题,反而加剧了问题的发生,导致了资料窃取等攻击。
这些秘密缓冲区,再加上CPU缓存中留下的副作用,打开了相当于Intel CPU中的后门的东西,允许攻击者使用AVX指令轻松从内存中获取敏感信息,包括用于高级加密标准(AES)的加密密钥。加密—通过利用Intel在Spectre和Meltdown之后修复的设计缺陷。
Intel尚未对这些指控做出回应,但这些是针对该公司的一些严重指控,因为它表明Intel显然不受其架构中潜在后门和漏洞的困扰,这使消费者和企业都面临风险。 然而我们不应该现在就下结论,因为正如他们所说的在被证明无罪之前有罪。
未经允许不得转载:值得买 » Intel-Downfall-CPU漏洞引发消费者集体诉讼