Intel, dată în judecată pentru vânzarea cu bună știință de procesoare defecte

Conform Ghidului lui Tom , vulnerabilitatea este exploatată de instrucțiunile AVX2 și AVX-512 printr-un atac pe care Intel îl numește Gather Data Sampling (GDS). Informațiile despre viitorul proces au apărut pentru prima dată în august 2023. Vulnerabilitatea afectează procesoarele Intel de la a 6-a generație (Skylake) până la a 11-a (Rocket Lake), inclusiv cipuri Xeon bazate pe aceeași arhitectură, afectând potențial miliarde de procesoare.

Intel a recunoscut că, pentru anumite sarcini de lucru, scăderea performanței după instalarea patch-ului poate ajunge până la 50%. O serie de teste efectuate la scurt timp după descoperirea incidentului au arătat o scădere a performanței de până la 39%, aplicațiile care se bazează în mare măsură pe instrucțiunile AVX2 și AVX-512 fiind cele mai afectate.

În 2018, când a fost descoperită vulnerabilitatea Downfall, o serie de site-uri de știri au raportat că vulnerabilitățile Spectre și Meltdown, care vizau procesul de execuție speculativă pe care multe procesoare moderne îl folosesc pentru a accelera calculele, fuseseră mediatizate pe scară largă. Acest lucru i-a determinat pe cercetătorii în domeniul securității să înceapă să investigheze vectori de atac similari. În iunie 2018, cercetătorul Alexander Yee a raportat o nouă variantă a vulnerabilității Spectre pentru procesoarele Intel care se concentra pe AVX și AVX512. Aceste informații au fost păstrate strict confidențiale timp de două luni pentru a oferi Intel șansa de a acționa pentru a remedia situația.

De fapt, conform procesului, Yee nu a fost singurul care a avertizat Intel despre vulnerabilitățile AVX. Mai exact, reclamanții spun: „În vara anului 2018, în timp ce Intel se confrunta cu consecințele Spectre și Meltdown și promitea remedieri hardware pentru generațiile viitoare de procesoare, compania a primit două rapoarte separate de vulnerabilități de la terți, care menționau mai multe vulnerabilități legate de AVX pentru procesoarele sale.” Reclamanții notează că Intel a recunoscut că a citit aceste rapoarte.

Principala plângere din documentele instanței, care solicită un proces cu juriu la Tribunalul Districtual al SUA din San Jose, nu se concentrează pe existența vulnerabilității Downfall sau pe penalizarea de performanță pentru patch-uri, ci pe acțiunile Intel. Reclamanții susțin că firma știa despre defectul din spatele Downfall încă din 2018, dar a vândut în mod conștient miliarde de procesoare de când a fost descoperită eroarea. Acest lucru le lasă utilizatorilor două opțiuni (ambele inacceptabile): să cumpere procesoare vulnerabile sau să instaleze un patch care distruge performanța pentru a-i proteja. De aceea, reclamanții solicită despăgubiri din partea Intel.