前情回顾·巨头光辉中的阴翳
安全内参11月15日消息,英特尔当前面临一项集体诉讼,被控对中央处理器(CPU)数据泄露漏洞处理不力。
这份诉状共112页,提交至美国加州北区圣何塞分区联邦地方法院。五名原告代表声称,这家芯片巨头对引发近期“Downfall”漏洞的错误指令完全知情,却拖延了近五年才发布补丁。
英特尔的不作为是否违法,界定起来可能比较复杂。界定结果也将对科技产业带来广泛影响。
Viakoo实验室副总裁John Gallagher表示,“要求永远没有漏洞肯定不现实。但是,假设我的数据被盗,是因为供应商没有及时应用补丁,我有理由起诉他们不作为。”
英特尔如何处理芯片问题
Downfall漏洞编号为CVE-2022-40982,是英特尔第六到第十一代处理器中的信息披露漏洞,CVSS漏洞评分为6.5,属中等级别。今年8月,谷歌研究人员在黑帽大会上透露,攻击者可以利用处理器推测执行时使用的有漏洞指令,获取共享计算环境中其他用户的特权信息。
由于英特尔占据全球x86处理器市场的大部分份额,Downfall漏洞可以影响全球数百万甚至数十亿台计算机。John Gallagher指出,“在个人层面上,大多数人不会受到影响。漏洞利用相对复杂,需要用户共享计算机或云环境。”
Downfall漏洞在今年8月才由谷歌研究人员公之于众,而英特尔面临的集体诉讼针对的是更早些年的情况。
2018年,一位硬件爱好者发布研究结果,展示了英特尔处理器中类似Downfall的瞬时执行漏洞。这与其他更为臭名昭著的芯片漏洞,比如Spectre和Meltdown,以及另一个类似案例NetSpectre十分相似。这些漏洞几乎同时出现。
诉状称,“英特尔已经收到多次(公开的)漏洞披露报告,都提到了这些漏洞。然而,英特尔并没有仔细分析高级矢量扩展指令集架构(AVX ISA)可能有哪些副作用,也没有研究工程上的解决方案,未能在2018年、2019年、2020年、2021年或2022年修复这些漏洞。相反,英特尔将利润放在第一位,长年故意销售有缺陷的处理器。”
今年黑帽大会Downfall漏洞曝光后,英特尔同期发布了漏洞补丁。诉状指出,这个补丁大幅削弱了处理速度,导致“原告们要么继续使用极易受到攻击的有缺陷处理器,要么以无法接受的运行速度‘修复’漏洞。”
英特尔是否应该承担法律责任?
现行法律并没有明确定义,漏洞修复不力与完全不作为的界限。
John Gallagher回顾说,“明年将是英特尔因‘浮点错误’登上头条,被迫召回芯片30周年。从那时起,法律责任始终不太明确,因为总会存在没有达到法律责任程度的小众案例和轻微缺陷。”
无论英特尔是否有错,由于Downfall是复杂的侧信道漏洞,对大多数计算机使用者影响有限,这次诉讼案件依然不够具有代表性,无法改变法律责任界定不清的大环境。
John Gallagher表示,“如果这是一个被广泛利用的漏洞,而且可以合理预防,就可能涉及法律责任。但是,这些条件并不符合,本案只能再一次说明,即使经过最严格的测试和产品设计,缺陷仍会发生。”
他总结道,“如果对每次利用芯片级结构漏洞的侧信道攻击都提起法律诉讼,法庭的案卷肯定会不够用。”
代表原告的Bathaee Dunne律师事务所拒绝就此案发表评论,英特尔也暂未发表回应。
参考资料:https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。