英特尔隐瞒处理器“Downfall”漏洞及“秘密缓冲区”,面临集体诉讼

2023-11-20 15:37:36 浏览数 (1)

11月17日消息,据外媒报道,英特尔近期被指控在2018年就发现了其处理器存在“Downfall”漏洞,而英特尔为了避免更新修补漏洞会影响处理器性能,竟对该漏洞置之不理,放任存在安全隐患的产品进入市场,让使用者面临不必要的安全风险。

据悉,“Downfall”漏洞(编号CVE-2022-40982)主要影响英特尔第6代至第11代消费类处理器(Core、Celeron及Pentium系列),以及第1代至第4代Xeon x86-64 CPU。

谷歌(Google)研究员表示,漏洞导致数十亿个人和云计算产品当中的英特尔CPU可能被黑客操控泄露敏感数据。漏洞位于“Gather”AVX CPU指令,推测执行期间会有泄漏向量寄存器档案内容的风险。

英特尔2018年便发现漏洞,因为英特尔收到了两份“Downfall”漏洞的安全通报,但英特尔当时正全力处理CPU构架当中的“Spectre”和“Meltdown”漏洞,因此决定隐瞒“Downfall”漏洞,并放任其继续存在,直到Google研究员Daniel Moghimi在2022年发现,今年8月公开信息后,才让事件曝光。

在公开英特尔处理器的“Downfall”漏洞前,Moghimi有给英特尔时间开发CPU代码更新修补,但英特尔发现更新后执行简单运算任务时可能使CPU性能降低近50%。

面对有安全缺陷的处理器,显然只有两条路可走:要么隐瞒漏洞放任攻击,要么修复漏洞,但需要承担处理器性能下降后果。英特尔显然选择第一条路,放任有漏洞产品上市可能带来的安全隐患。

此外,英特尔还制造出AVX瑕疵指令相关的“秘密缓冲区”,且从未披露。缓冲区宛如让存在“Downfall”漏洞处理器的电脑、工作站与服务器开后门,攻击者可窃取內存储存的敏感信息。

对此,近期有五位受害者以自身名义及“全美CPU消费者”代表于当地时间11月8日在美国北加州联邦地方法院圣何塞分院提起集体诉讼。目前英特尔还未响应。不论诉讼结果如何,英特尔安全声誉已受不小影响。

编辑:芯智讯-林子

0 人点赞