Intel, çip üreticisinin Çöküş güvenlik açıklarından haberdar olduğunu ve hala piyasada çip sattığını iddia ederek tüketiciler tarafından bir davaya sürüklendi.
Intel CPU Kullanıcılarının Açtığı Dava, Team Blue’nun Çöküşün Potansiyel Varlığından Haberdar Olduğunu, Ancak Hiçbir Şey Yapmadığını Ortaya Çıkardı
Davaya geçmeden önce Çöküşün ne olduğunu özetleyelim. Daha önce de belirtildiği gibi güvenlik açığı özellikle AVX2/AVX-512 toplama talimatlarını kullanan iş yüklerini etkiliyor. “Downfall”ı açıklayan Intel, eski nesil Tiger Lake/Ice Lake serileri üzerinde daha büyük bir etki yarattı. Basit bir ifadeyle, güvenlik açığı donanım kayıt defteri içeriğini açığa çıkarıyor ve potansiyel olarak büyük ölçekli veri hırsızlıklarına yol açıyor. Sektördeki güvenlik açığı oldukça yaygın bir durum olduğundan, şirketin hatası olarak görülmüyor ve çoğu zaman hafifletme hızla uygulanıyor.
Ancak beş Intel CPU alıcısının açtığı dava, Kayıt, Team Blue’nun AVX yan kanal güvenlik açığının 2018’den bu yana farkında olduğunu iddia ediyor. Üstelik şirket, Downfall keşfedilene kadar mimarideki döngüyü düzeltme eğiliminde olmadı; bu yalnızca milyonlarca kullanıcının güvenliğini riske atmakla kalmadı, ancak güvenlik açığının ardından performansta yüzde 50’lik bir düşüş yaşandı. The Register’ın raporu Downfall’ın varlığının aslında beş yıl önce nasıl başladığını şu şekilde özetliyor:
Şikayette, Intel’in Spectre ve Meltdown ile uğraştığı 2018 yazında üreticinin, üçüncü taraf araştırmacılardan mikroişlemci titanının Intel CPU’ya izin veren Gelişmiş Vektör Uzantıları (AVX) talimat setinin güvenlik açığı konusunda uyardığı iki ayrı güvenlik açığı raporu aldığı belirtiliyor. Çekirdeklerin aynı anda birden fazla veri parçası üzerinde işlem gerçekleştirmesi ve performansı artırması, diğer iki ciddi kusurla aynı sınıftaki yan kanal saldırılarına karşı savunmasızdı.
Dosyayı hazırlayanların öne sürdüğü argüman, Intel’in bu “boşluğun” uzun süredir farkında olduğunu ve şirketin, bu boşluğun potansiyel varlığını beş yıl önce bilmesine rağmen bunu düzeltmek için hiçbir çaba göstermediğini ortaya koyuyor. Üstelik Intel’in bu talimatlarla ilgili “gizli tamponlar” uyguladığı ve bunların temel olarak güvenlik açığı tehditlerini geçici bir süreliğine bastırmayı amaçladığı söyleniyor. Bu, sorunu çözmek yerine, veri hırsızlığı gibi saldırılara yol açan sorunun oluşumunu artırdı.
Bu gizli arabellekler, CPU önbelleğinde bırakılan yan etkilerle birleştiğinde, Intel’in CPU’larında bir arka kapıya eşdeğer bir şey açarak, bir saldırganın Gelişmiş Şifreleme Standardı (‘AES) için kullanılan şifreleme anahtarları da dahil olmak üzere hassas bilgileri bellekten kolayca elde etmek için AVX talimatlarını kullanmasına olanak tanıdı. ‘) şifreleme – Intel’in Spectre ve Meltdown’dan sonra düzelttiği varsayılan tasarım kusurundan yararlanılarak.
Intel iddialara henüz yanıt vermedi, ancak bunlar şirkete karşı bazı ciddi iddialar çünkü Team Blue’nun mimarilerindeki potansiyel arka kapılar ve boşluklardan “rahatsız” olduğunu ve bu durumun hem tüketicileri hem de işletmeleri riske attığını gösteriyor. Ancak henüz bir sonuca varmamak lazım çünkü ‘masumiyeti kanıtlanana kadar suçludur’ derler.
Haber kaynağı: Kayıt