英特爾隱瞞處理器Downfall漏洞及“秘密緩沖區(qū)”，面臨集體訴訟

11月17日消息，據(jù)外媒報道，英特爾近期被指控在2018年就發(fā)現(xiàn)了其處理器存在“Downfall”漏洞，而英特爾為了避免更新修補漏洞會影響處理器性能，竟對該漏洞置之不理，放任存在安全隱患的產(chǎn)品進入市場，讓使用者面臨不必要的安全風險。

據(jù)悉，“Downfall”漏洞（編號CVE-2022-40982）主要影響英特爾第6代至第11代消費類處理器（Core、Celeron及Pentium系列），以及第1代至第4代Xeon x86-64 CPU。

谷歌（Google）研究員表示，漏洞導致數(shù)十億個人和云計算產(chǎn)品當中的英特爾CPU可能被黑客操控泄露敏感數(shù)據(jù)。漏洞位于“Gather”AVX CPU指令，推測執(zhí)行期間會有泄漏向量寄存器檔案內(nèi)容的風險。

英特爾2018年便發(fā)現(xiàn)漏洞，因為英特爾收到了兩份“Downfall”漏洞的安全通報，但英特爾當時正全力處理CPU構架當中的“Spectre”和“Meltdown”漏洞，因此決定隱瞞“Downfall”漏洞，并放任其繼續(xù)存在，直到Google研究員Daniel Moghimi在2022年發(fā)現(xiàn)，今年8月公開信息后，才讓事件曝光。

在公開英特爾處理器的“Downfall”漏洞前，Moghimi有給英特爾時間開發(fā)CPU代碼更新修補，但英特爾發(fā)現(xiàn)更新后執(zhí)行簡單運算任務時可能使CPU性能降低近50%。

面對有安全缺陷的處理器，顯然只有兩條路可走：要么隱瞞漏洞放任攻擊，要么修復漏洞，但需要承擔處理器性能下降后果。英特爾顯然選擇第一條路，放任有漏洞產(chǎn)品上市可能帶來的安全隱患。

此外，英特爾還制造出AVX瑕疵指令相關的“秘密緩沖區(qū)”，且從未披露。緩沖區(qū)宛如讓存在“Downfall”漏洞處理器的電腦、工作站與服務器開后門，攻擊者可竊取內(nèi)存儲存的敏感信息。

對此，近期有五位受害者以自身名義及“全美CPU消費者”代表于當?shù)貢r間11月8日在美國北加州聯(lián)邦地方法院圣何塞分院提起集體訴訟。目前英特爾還未響應。不論訴訟結果如何，英特爾安全聲譽已受不小影響。

編輯：芯智訊-林子