英特爾遭指 2018 年就發現的處理器漏洞「Downfall」,為了避免更新會影響處理器效能,竟置之不理,任有安全疑慮的產品流入市面,讓使用者面臨不必要的風險。
「Downfall」漏洞(編號 CVE-2022-40982)主要影響 Intel 第 6~11 代消費性處理器(Core、Celeron 及 Pentium 系列),以及第 1~4 代 Xeon x86-64 CPU。
Google 研究員表示,漏洞導致數十億個人和雲端運算英特爾 CPU 可能被駭客操控洩露敏感資料。漏洞位於「Gather」AVX CPU 指令,推測執行期間會有洩漏向量暫存器檔案內容的風險。
英特爾 2018 年便發現漏洞,因英特爾明明收到兩份 Downfall 漏洞的安全通報,但英特爾正全力處理 CPU 架構 Spectre 和 Meltdown 漏洞,決定隱瞞 Downfall 並放任漏洞繼續存在,直到 Google 研究員 Daniel Moghimi 在 2022 年發現,今年 8 月公開訊息後,才讓事件曝光。
公開英特爾處理器 Downfall 漏洞前,Moghimi 有給英特爾時間開發 CPU 微碼更新修補,但英特爾發現微碼執行簡單運算任務時可能使 CPU 效能降低近 50%。
面對有安全缺陷的處理器,顯然只有兩條路可走:要麼隱瞞漏洞放任攻擊,要麼修復漏洞但承擔處理器效能下降後果。英特爾顯然選擇第一條路,放任有漏洞產品上市而不顧使用者與企業的死活。
更誇張的是英特爾還製造出 AVX 瑕疵指令相關的「祕密緩衝區」,且從未披露。緩衝區宛如讓內建 Downfall 漏洞處理器的電腦、工作站與伺服器開後門,攻擊者可竊取記憶體儲存的敏感資訊。
為了討回公道,五位受害者以自身名義及「全美 CPU 消費者」代表 8 日至北加州聯邦地方法院聖荷西分院提起集體訴訟。目前英特爾還未回應。不論訴訟結果如何,英特爾安全聲譽已受不小影響。
(首圖來源:Intel)
I.. cream 可惡的英特爾,隱匿漏洞
2023年11月17日16:23
S T 應該把這種集體訴訟的文化帶回台灣!
奸商就該告給他哭!
2023年11月17日13:16
顯示全部