По данным Tom's Guide , уязвимость эксплуатируется инструкциями AVX2 и AVX-512 посредством атаки, которую Intel называет Gather Data Sampling (GDS). Информация о предстоящем иске впервые появилась в августе 2023 года. Уязвимость затрагивает процессоры Intel с 6-го (Skylake) по 11-е (Rocket Lake) поколения, включая чипы Xeon на той же архитектуре, что потенциально может затронуть миллиарды процессоров.
Говорят, что Intel знала о существовании уязвимости Downfall, но «стояла в стороне и наблюдала».
Intel признала, что для некоторых рабочих нагрузок падение производительности после установки исправления может достигать 50%. Серия тестов, проведённых вскоре после обнаружения инцидента, показала падение производительности до 39%. При этом сильнее всего пострадали приложения, активно использующие инструкции AVX2 и AVX-512.
В 2018 году, когда была обнаружена уязвимость Downfall, ряд новостных сайтов сообщили о широкой огласке уязвимостей Spectre и Meltdown, нацеленных на спекулятивный процесс выполнения, используемый многими современными процессорами для ускорения вычислений. Это побудило специалистов по безопасности начать изучать аналогичные векторы атак. В июне 2018 года исследователь Александр Йи сообщил о новой версии уязвимости Spectre для процессоров Intel, ориентированной на AVX и AVX512. Эта информация держалась в строгой конфиденциальности в течение двух месяцев, чтобы дать Intel возможность исправить ситуацию.
Фактически, согласно иску, Йи был не единственным, кто предупреждал Intel об уязвимостях AVX. В частности, истцы утверждают: «Летом 2018 года, когда Intel боролась с последствиями Spectre и Meltdown и обещала аппаратные исправления для будущих поколений процессоров, компания получила два отдельных отчёта об уязвимостях от третьих лиц, в которых упоминалось несколько уязвимостей, связанных с AVX, для её процессоров». Истцы отмечают, что Intel признала, что ознакомилась с этими отчётами.
Основная претензия в судебных документах, требующих рассмотрения дела с участием присяжных в Окружном суде США в Сан-Хосе, сосредоточена не на существовании уязвимости Downfall или на снижении производительности, вызванном патчами, а на действиях Intel. Истцы утверждают, что компания знала об уязвимости Downfall с 2018 года, но сознательно продала миллиарды процессоров с момента обнаружения уязвимости. Это оставляет пользователям два (оба неприемлемых) варианта: купить уязвимые процессоры или установить патч, снижающий производительность, для их защиты. Именно поэтому истцы требуют от Intel компенсации.
Ссылка на источник
Комментарий (0)