De acordo com o Tom's Guide , essa vulnerabilidade é explorada pelas instruções AVX2 e AVX-512 por meio de um ataque que a Intel chama de Gather Data Sampling (GDS). Informações sobre o processo iminente surgiram pela primeira vez em agosto de 2023. Essa vulnerabilidade afeta processadores Intel da 6ª (Skylake) à 11ª (Rocket Lake) gerações, incluindo chips Xeon baseados na mesma arquitetura, podendo afetar bilhões de processadores.
Acredita-se que a Intel tinha conhecimento da existência da vulnerabilidade Downfall, mas optou por "ficar de braços cruzados".
A Intel reconheceu que, para determinadas cargas de trabalho, a degradação de desempenho após a instalação da correção poderia chegar a 50%. Uma série de testes realizados imediatamente após a descoberta do incidente mostrou uma degradação de desempenho de até 39%, sendo os aplicativos que dependem fortemente dos conjuntos de instruções AVX2 e AVX-512 os mais afetados.
Em 2018, por volta da época em que a vulnerabilidade Downfall foi descoberta, uma série de veículos de imprensa noticiou as vulnerabilidades Spectre e Meltdown, que hackers exploraram no processo de execução especulativa usado por muitos processadores modernos para acelerar a computação. Isso levou pesquisadores de segurança a começarem a examinar vetores de ataque semelhantes. Em junho de 2018, o pesquisador Alexander Yee relatou uma nova variante da vulnerabilidade Spectre para processadores Intel, com foco em AVX e AVX512. Essa informação foi mantida estritamente confidencial por dois meses para dar à Intel tempo para agir e corrigir a situação.
De fato, segundo o processo, Yee não foi o único a alertar a Intel sobre as vulnerabilidades do AVX. Especificamente, os autores da ação afirmaram: "No verão de 2018, enquanto a Intel lidava com as consequências do Spectre e do Meltdown e prometia corrigir falhas de hardware em futuras gerações de processadores, a empresa recebeu dois relatórios de vulnerabilidades de terceiros mencionando diversas vulnerabilidades relacionadas ao AVX em seus processadores." Os autores da ação enfatizaram que a Intel reconheceu ter lido esses relatórios.
A principal queixa apresentada nos autos do processo que busca um julgamento por júri no Tribunal Distrital de San Jose, EUA, não se concentra na existência da vulnerabilidade Downfall ou nas penalidades de desempenho decorrentes das correções, mas sim na "inércia" da Intel. Os autores da ação alegam que a empresa tinha conhecimento da falha por trás do Downfall desde 2018, mas deliberadamente vendeu bilhões de processadores desde a descoberta do defeito. Isso deixou os usuários com apenas duas opções (ambas inaceitáveis): comprar o processador vulnerável ou instalar uma correção que prejudica o desempenho para protegê-lo. É por isso que os autores da ação buscam indenização da Intel.
Link da fonte
Comentário (0)