CPU’larındaki veri sızdıran hataları ele alması nedeniyle bu hafta Intel’e karşı toplu dava şikayeti sunuldu.
İçinde 112 sayfalık bir dosyalama Amerika Birleşik Devletleri Bölge Mahkemesi’nin Kaliforniya Kuzey Bölgesi’nin San Jose Bölümü’nde beş temsilci davacı, çip devinin, herhangi bir tür yayınlanmadan yarım on yıl önce, son “Çöküş” hatası gibi sorunları mümkün kılan hatalı talimatlardan haberdar olduğunu iddia ediyor. düzeltme.
Intel’in ihmalinin yasal bir suç teşkil edip etmediğini belirlemek karmaşık olabilir ve bunun teknoloji endüstrisi için geniş kapsamlı sonuçları olabilir.
Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, “Hiçbir zaman bir kusura sahip olmamak gerçekçi olmayan bir taleptir” diyor, ancak “bir tedarikçinin zamanında bir yama uygulamaması nedeniyle verilerim çalınırsa, onları dava edebilmeliyim” ihmalden dolayı.”
Intel, Chip Sorunlarını Nasıl Ele Aldı?
Düşüşe verilen isim CVE-2022-40982Intel’in altıncı ila on birinci nesil CPU’larında 6,5 orta dereceli CVSS dereceli bir bilgi ifşa güvenlik açığı. Bir Google araştırmacısının geçen Ağustos’taki Black Hat etkinliğinde açıkladığı gibi, bir saldırgan, paylaşılan bir bilgisayar ortamında diğer kullanıcıların ayrıcalıklı bilgilerine erişim elde etmek amacıyla işlemcilerin spekülatif yürütme için kullandığı güvenlik açığı bulunan bir talimattan yararlanabilir.
Her ne kadar dünya çapında sayısız milyonlarca, hatta milyarlarca bilgisayarda mevcut olsa da (Intel, küresel x86 CPU pazarının çoğunluğuGallagher, “bireysel düzeyde bu çoğu insanı etkilemeyecektir; nispeten karmaşık bir istismardır ve bir kullanıcının bilgisayar veya bulut ortamını paylaşmasına dayanmaktadır” diye belirtiyor.
Google araştırmacısı Çöküş’ü ilk kez ağustos ayında gündeme getirmiş olsa da, yeni dava bunun çok daha ötesine işaret ediyor.
2018 yılında Bir donanım tutkunu bulguları yayınladı Intel CPU’larda Düşüş tarzı geçici yürütme güvenlik açığını gösteriyor. Daha kötü şöhrete sahip diğer çip böceklerine benziyordu. Spectre ve Meltdown – ve yine benzer bir vaka – NetSpectre – tam da aynı zamanlarda ortaya çıktı.
“Ancak, konuyla ilgili olarak Intel’e yapılan çok sayıda (kamuya açık) güvenlik açığı açıklamasına rağmen, Intel dikkatli bir şekilde analiz etmedi.[sic] AVX ISA’daki olası yan etkiler ve bunları 2018’de düzeltmek için mühendislik donanım çözümleri. Veya 2019, 2020, 2021 veya 2022’de. Bunun yerine Intel, kârı ilk sıraya koydu ve kusurlu CPU’ları, bunların hatalı olduğunu açıkça bildiği halde yıllarca satıyor. Arızalı” şikayetinde belirtiliyor.
Bu yılki Siyah Şapka açıklamasıyla uyumlu olarak, Intel Downfall için bir yama yayınladı. Ancak şikayete göre bu yama, işlem hızlarını öyle bir düşürüyor ki, “davacılar ya saldırılara karşı son derece savunmasız olan ya da bunları ‘düzeltmek’ için tanınmayacak kadar yavaşlatılması gereken kusurlu CPU’larla kalıyor.”
Bunun için iddia makamı, “Intel’e karşı (a) duruşmada belirlenecek miktarda fiili zarar veya (b) her davacı için 10.000 ABD Doları tutarında yasal tazminattan hangisi daha büyük olursa olsun parasal tazminat” talep ediyor.
Intel Yasal Olarak Sorumlu Tutulmalı mı?
Zayıf güvenlik açığı iyileştirmesinin doğrudan ihmale dönüşeceği eşik, henüz kanunla açıkça tanımlanmamıştır.
“Gelecek yıl, Intel’in ‘kayan nokta hatası’nın manşetlere çıkmasından ve Intel’in (potansiyel olarak yasal olarak sorumlu bulunmayı önlemek için) çiplerini geri çağırmasına neden olmasından bu yana 30 yıl olacak. O zamandan bu yana yasal sorumluluk pek açık değil, çünkü orada Gallagher, “Bu durum her zaman yasal sorumluluk düzeyine ulaşmayacak küçük vakalar ve küçük kusurlar olacaktır” diye düşünüyor.
Intel hatalı olsa da olmasa da, çoğu bilgisayar sahibi için sınırlı sonuçları olan karmaşık bir yan kanal hatası, bu eğilimi tersine çevirecek en net durumu ortaya koymuyor. “Bu, makul bir şekilde önlenebilecek, geniş çapta istismar edilen bir kusur olsaydı, yasal sorumluluğa yol açabilirdi, ancak bu olmadan, en sıkı test ve ürün tasarımında bile kusurların nasıl ortaya çıkabileceğinin bir başka örneğidir” diyor .
“Çip düzeyindeki bir mimari kusurdan yararlanan her yan kanal saldırısı yasal bir dava olarak getirilseydi” diye bitiriyor, “bağlantı noktaları dolup taşardı.”
İddia makamını temsil eden Bathaee Dunne LLP, bu hikaye hakkında yorum yapmayı reddetti. Dark Reading ayrıca bu yayın itibarıyla henüz yanıt vermemiş olan Intel’e de ulaştı.