Laut Tom's Guide wird die Sicherheitslücke durch AVX2- und AVX-512-Befehle mittels eines von Intel als „Gather Data Sampling“ (GDS) bezeichneten Angriffs ausgenutzt. Informationen über die bevorstehende Klage tauchten erstmals im August 2023 auf. Die Sicherheitslücke betrifft Intel-Prozessoren der 6. Generation (Skylake) bis 11. Generation (Rocket Lake), einschließlich Xeon-Chips mit derselben Architektur, und potenziell Milliarden von Prozessoren.
Intel soll von der Existenz der Downfall-Sicherheitslücke gewusst, aber „tatenlos zugesehen“ haben.
Intel räumte ein, dass der Leistungsabfall nach der Installation des Patches bei manchen Anwendungen bis zu 50 % betragen kann. Eine Reihe von Tests, die kurz nach Entdeckung des Vorfalls durchgeführt wurden, zeigte einen Leistungsabfall von bis zu 39 %, wobei Anwendungen, die stark auf AVX2- und AVX-512-Befehle angewiesen sind, am stärksten betroffen waren.
Im Jahr 2018, als die Downfall-Schwachstelle entdeckt wurde, berichteten mehrere Nachrichtenseiten über die weit verbreitete Bekanntmachung der Spectre- und Meltdown-Schwachstellen. Diese zielten auf den spekulativen Ausführungsprozess ab, den viele moderne Prozessoren zur Beschleunigung von Berechnungen nutzen. Dies veranlasste Sicherheitsforscher, ähnliche Angriffsvektoren zu untersuchen. Im Juni 2018 meldete der Forscher Alexander Yee eine neue Variante der Spectre-Schwachstelle für Intel-Prozessoren, die AVX und AVX512 betraf. Diese Information wurde zwei Monate lang streng vertraulich behandelt, um Intel die Möglichkeit zu geben, auf die Schwachstelle zu reagieren.
Tatsächlich war Yee laut Klage nicht der Einzige, der Intel vor den AVX-Schwachstellen warnte. Die Kläger führen aus: „Im Sommer 2018, als Intel mit den Folgen von Spectre und Meltdown zu kämpfen hatte und Hardware-Fixes für zukünftige Prozessorgenerationen versprach, erhielt das Unternehmen zwei separate Sicherheitsberichte von Drittanbietern, in denen mehrere AVX-bezogene Schwachstellen seiner Prozessoren erwähnt wurden.“ Die Kläger merken an, dass Intel den Erhalt dieser Berichte bestätigte.
Die Hauptklage in den Gerichtsakten, mit denen ein Geschworenengerichtsverfahren vor dem US-Bezirksgericht in San Jose beantragt wird, konzentriert sich nicht auf die Existenz der Downfall-Sicherheitslücke oder die Leistungseinbußen durch die Patches, sondern auf Intels Vorgehen. Die Kläger werfen dem Unternehmen vor, die Sicherheitslücke hinter Downfall seit 2018 gekannt, aber wissentlich Milliarden von Prozessoren verkauft zu haben, seitdem der Fehler entdeckt wurde. Dies stellt die Nutzer vor zwei (beide inakzeptable) Alternativen: den Kauf anfälliger Prozessoren oder die Installation eines leistungsmindernden Patches zum Schutz. Deshalb fordern die Kläger Schadensersatz von Intel.
Quellenlink
Kommentar (0)