在本月早些时候披露“Downfall”芯片漏洞后,英特尔可能很快就会发现自己陷入了困境。据一家集体诉讼聚合商称,现在人们有兴趣针对与 Downfall 漏洞相关的损失对英特尔提起诉讼。这并不奇怪,因为修复该错误可能会导致某些工作负载的性能降低高达39%,并影响可能达到数十亿个处理器的数量。由 Bathaee Dunne LLP 律师事务所发起的集体诉讼调查(仍在引起人们的兴趣、原告和信息)旨在迫使英特尔赔偿客户“因倒台而造成的价值损失、性能下降、安全问题和其他损害”脆弱性。”
英特尔的垮台是另一个影响大、难以缓解的漏洞,它攻击推测执行——现代 CPU 的一项功能,旨在在需要信息之前预测完成工作负载所需的数据和/或操作。因此,推测执行的目的是使信息保持准备就绪并易于处理。尽管如此,随着推测执行场景中漏洞数量的增加,我们也看到了一种趋势,即修复这些问题会对性能产生相应的负面影响。目前看来,英特尔针对 Downfall 的缓解措施的平均性能成本约为 39%。
英特尔自己表示,在某些情况下性能可能会下降多达 50%,这表明推测执行对于现代 CPU 的性能有多么重要。考虑到该漏洞对从第 6 代(Skylake)到第 11 代(Rocket Lake)的英特尔处理器(包括基于相同架构的至强产品)的影响,受影响的英特尔 CPU 数量可能会达到数十亿。
针对英特尔处理其 CPU 中发现的推测执行漏洞的方式,特别是最近披露的名为 Downfall 的攻击方法,已提起集体诉讼。
巴塔伊·邓恩 (Bathaee Dunne) 代表的原告本周提交了一份长达 112 页的集体诉讼诉状。8 月下旬出现了 Bathaee Dunne 牵头针对 Downfall 漏洞对英特尔提起诉讼的消息,当时该律师事务所宣布准备提起诉讼。
原告表示,他们购买的英特尔 CPU 存在“缺陷”,因为它们要么容易受到网络攻击,要么由于芯片巨头提供的漏洞修复而导致性能显着降低。
投诉称,自 2018 年以来,英特尔就知道其处理器存在推测执行漏洞,当时网络安全研究人员披露了名为 Meltdown 和 Spectre 的两种攻击方法的存在。
这些类型的攻击通常允许有权访问目标系统(在某些情况下远程访问)的攻击者绕过安全保护并从内存中获取密码和加密密钥等敏感信息。然而,进行攻击通常不是一件容易的事,并且没有关于此类缺陷被大规模利用的公开报告。
在 Meltdown 和 Spectre 披露后,英特尔已获悉其他几个推测执行漏洞,并且该公司一直在采取措施解决这些漏洞。
然而,客户对这些问题的修复导致性能显着下降感到不满,并指责英特尔多年来一直销售明知存在缺陷的 CPU。
谷歌研究人员在给予英特尔一年多的时间采取行动后于 8 月披露了Downfall攻击,该攻击被描述为非常实用,PoC 漏洞展示了如何利用它来窃取 OpenSSL 加密密钥。 “当 Downfall 漏洞公开后,英特尔发布了微代码更新,据说可以缓解 Downfall 漏洞。事实上,英特尔的‘缓解措施’阻碍了每个现代 CPU 功能的核心系统,即推测执行和分支预测,导致受影响的 CPU 性能下降多达 50%。”
该投诉准确地显示了受影响的英特尔 CPU 由于性能下降而导致的价值下降了多少。
原告“寻求针对英特尔的金钱救济,具体金额为 (a) 实际损害赔偿金额(金额将在审判中确定)或 (b) 法定损害赔偿金额(每位原告 10,000 美元)中的较高者。”
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):英特尔因 CPU“崩溃”漏洞被起诉
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论