Uma ação coletiva foi movida contra a Intel devido a uma vulnerabilidade crítica de “queda” nas CPUs Intel, um defeito que a Intel estava ciente desde 2018, mas deixou de relatar.
Segundo a Intel, a única maneira de “consertar” isso é aplicando um patch que reduza o desempenho da CPU em até 50% ao realizar algumas tarefas comuns de computação, como criptografia, jogos e edição de fotos e vídeos.
Os demandantes são compradores de Unidades Centrais de Processamento Intel (ou “CPUs”). Como resultado, eles ficam com CPUs defeituosas que ficam extremamente expostas a ataques ou exigem lentidão drástica.
Os relatórios dizem que não são as CPUs que os membros da classe e os demandantes compraram. Eles são significativamente menos valiosos e têm desempenho muito diferente.
Cinco demandantes representativos apresentaram uma queixa de 112 páginas na Divisão de San Jose do Tribunal Distrital dos Estados Unidos do Distrito Norte da Califórnia, alegando que a Intel estava ciente das instruções defeituosas que permitiam o bug “Downfall” meia década antes de qualquer tipo de correção. foi disponibilizado.
Os demandantes buscam compensação pela escolha deliberada da Intel de vender processadores com um design obviamente defeituoso sem revelar o fato, bem como por uma suposta “solução” que destrói o desempenho de sua CPU.
Ataques de queda encontrados em bilhões de processadores modernos
A vulnerabilidade foi identificada como CVE-2022-40982, uma 6.5 vulnerabilidade de divulgação de informações com classificação CVSS média em CPUs de sexta a décima primeira geração da Intel.
“Os invasores podem explorar a vulnerabilidade e ler dados de outros programas e áreas de memória”, disse o relatório.
Documento
Os ataques de queda têm como alvo uma falha crítica identificada em bilhões de CPUs modernas usadas em sistemas pessoais e em nuvem. Esta vulnerabilidade permite que um usuário obtenha acesso e roube dados de outros usuários que compartilham a mesma máquina.
Daniel Moghimi, especialista em segurança do Google, relatou a vulnerabilidade à Intel em 24 de agosto de 2022, mas só tornou a vulnerabilidade pública em agosto 92023.
CPUs de última geração começaram a usar previsão de ramificação na década de 1990. Esse processo especulativo tinha como objetivo evitar que a CPU travasse enquanto esperava por dados da memória do sistema relativamente lenta.
Essa técnica possibilitou ganhos significativos em poder e eficiência computacional, o que também abriu caminho para o desenvolvimento de estratégias adicionais de “execução especulativa”, como subsistemas que permitem às CPUs transportar instruções fora de ordem e até mesmo antecipar como elas serão executadas no futuro .
Todas as CPUs modernas possuem esses recursos de execução há mais de dez anos. Hoje em dia, eles são um componente essencial de cada CPU produzido pela Intel e seus rivais e, sem eles, não se pode prever que o desempenho da CPU seja alto o suficiente.
As CPUs modernas também exigem “segmentação”, o que significa que os programas de computador privilegiados e os recursos que eles consomem (como memória do sistema e hardware) devem ser mantidos separados dos programas executados pelo usuário. Esta também é uma característica fundamental de todas as CPUs modernas.
No entanto, a Intel projetou incorretamente esses sistemas críticos em bilhões de suas CPUs. As CPUs Intel são projetadas para descartar os resultados de uma execução se a CPU fizer uma suposição incorreta ao executar instruções especulativamente.
Em vez disso, as CPUs da Intel deixam para trás “efeitos colaterais” – dados que persistem na memória cache ou nos buffers temporários da CPU, mesmo depois que os resultados da execução especulativa são descartados.
“Durante anos, a Intel vendeu conscientemente bilhões de CPUs com esta enorme vulnerabilidade, que colocou em risco a base de redes seguras, comunicações seguras e armazenamento seguro de dados para CPUs Intel usadas em PCs, em servidores em nuvem e em computadores incorporados usados em todo o país em ressonâncias magnéticas funcionais, redes de energia e sistemas de controle industrial”, disse o relatório.
Depois de divulgar a vulnerabilidade Downfall, a Intel lançou uma atualização de microcódigo que supostamente resolveu a vulnerabilidade.
A verdade é que a “mitigação” da Intel restringiu severamente os mesmos sistemas – execução especulativa e previsão de ramificação – que são essenciais para a operação de qualquer CPU moderna, fazendo com que as CPUs afetadas tenham um desempenho até 50% pior.
Para “mitigar” sua vulnerabilidade ao Downfall, os demandantes ficam com CPUs defeituosas que devem ter deficiências significativas de desempenho e funcionalidade. Estas não são as CPUs que eles compraram.
Portanto, a promotoria está buscando “reparação monetária contra a Intel medida como o maior entre (a) danos reais em um valor a ser determinado no julgamento ou (b) danos legais no valor de US$ 10.000 para cada demandante”.
Patch Manager Plus, a solução completa para atualizações automatizadas de mais de 850 aplicativos de terceiros: Experimente o teste gratuito.
