Laut Tom's Guide wird die Sicherheitslücke durch AVX2- und AVX-512-Anweisungen über einen Angriff ausgenutzt, den Intel Gather Data Sampling (GDS) nennt. Informationen über die bevorstehende Klage tauchten erstmals im August 2023 auf. Die Sicherheitslücke betrifft Intel-Prozessoren der 6. (Skylake) bis 11. Generation (Rocket Lake), einschließlich Xeon-Chips mit derselben Architektur, und könnte Milliarden von Prozessoren betreffen.
Intel soll von der Existenz der Downfall-Sicherheitslücke gewusst haben, aber „dabeigestanden und zugesehen“ haben.
Intel räumte ein, dass der Leistungsabfall nach der Installation des Patches bei einigen Workloads bis zu 50 Prozent betragen kann. Eine Reihe von Tests, die kurz nach der Entdeckung des Vorfalls durchgeführt wurden, zeigten einen Leistungsabfall von bis zu 39 Prozent. Am stärksten betroffen waren dabei Anwendungen, die stark auf AVX2- und AVX-512-Anweisungen angewiesen sind.
Als 2018 die Downfall-Sicherheitslücke entdeckt wurde, berichteten mehrere Nachrichtenseiten, dass die Sicherheitslücken Spectre und Meltdown, die auf den spekulativen Ausführungsprozess abzielten, den viele moderne Prozessoren zur Beschleunigung von Berechnungen verwenden, weithin bekannt geworden seien. Dies veranlasste Sicherheitsforscher, ähnliche Angriffsmethoden zu untersuchen. Im Juni 2018 berichtete der Forscher Alexander Yee über eine neue Variante der Spectre-Sicherheitslücke für Intel-Prozessoren, die sich auf AVX und AVX512 konzentrierte. Diese Informationen wurden zwei Monate lang streng vertraulich behandelt, um Intel die Möglichkeit zu geben, die Situation zu beheben.
Tatsächlich war Yee laut der Klage nicht der Einzige, der Intel vor den AVX-Schwachstellen warnte. Konkret führen die Kläger aus: „Im Sommer 2018, als Intel mit den Folgen von Spectre und Meltdown zu kämpfen hatte und Hardware-Fixes für zukünftige Prozessorgenerationen versprach, erhielt das Unternehmen zwei separate Schwachstellenberichte von Drittanbietern, in denen mehrere AVX-bezogene Schwachstellen für seine Prozessoren erwähnt wurden.“ Die Kläger weisen darauf hin, dass Intel zugab, diese Berichte gelesen zu haben.
Der Hauptvorwurf in den Gerichtsunterlagen, der ein Schwurgerichtsverfahren vor dem US-Bezirksgericht in San Jose fordert, konzentriert sich nicht auf die Existenz der Downfall-Sicherheitslücke oder die Leistungseinbußen durch die Patches, sondern auf Intels Handeln. Die Kläger behaupten, das Unternehmen wisse seit 2018 von der Schwachstelle hinter Downfall, habe aber seit der Entdeckung des Fehlers wissentlich Milliarden von Prozessoren verkauft. Damit bleibe den Nutzern nur noch die (beides inakzeptable) Wahl: der Kauf anfälliger Prozessoren oder die Installation eines leistungsmindernden Patches zum Schutz. Deshalb fordern die Kläger eine Entschädigung von Intel.
[Anzeige_2]
Quellenlink
Kommentar (0)