На Intel подали до суду за продаж мільярдів процесорів із дефектом

Покупці процесорів Intel подали колективний позов, у якому стверджують, що Intel свідомо продала мільярди процесорів, знаючи про вразливість Downfall (INTEL-SA-00828). Ця вразливість експлуатується через інструкції AVX2 та AVX-512 за допомогою атаки, яку Intel назвала Gather Data Sampling (GDS). Позивачі стверджують, що Intel знала про цю вразливість з 2018 року, а патч, який виправляє цей архітектурний недолік, «уповільнив процесори до невпізнання».

Вперше інформація про позов, що готується, з'явилася в серпні 2023 року. Уразливість Downfall торкнулася процесори Intel від 6-го (Skylake) до 11-го (Rocket Lake) покоління, включаючи засновані на тих же архітектурах чіпи Xeon - загальна їх кількість може обчислюватися мільярдами. Виробник визнав, що в окремих робочих навантаженнях просідання продуктивності після встановлення патча, що закриває вразливість, може доходити до 50 %. Проведена незабаром після розкриття інформації про Downfall серія тестів показала втрату до 39% продуктивності. Найбільше постраждали програми, які значною мірою спиралися на набори інструкцій AVX2 та AVX-512.

2018 рік, коли було виявлено вразливість Downfall, був багатий на новини про апаратні проблеми комп'ютерної безпеки — уразливості Spectre та Meltdown не сходили із заголовків технічної преси. Вперше широкому загалу були представлені експлойти, націлені на спекулятивний процес виконання, який використовується багатьма сучасними процесорами для прискорення обчислень.

В результаті інформаційного шуму навколо Spectre і Meltdown деякі дослідники безпеки почали розглядати схожі вектори атак. У червні 2018 року Олександр Йі (Alexander Yee) повідомив про «новий варіант експлойту Spectre для процесорів Intel, який використовує інструкції AVX та AVX512» . Ця інформація протягом двох місяців залишалася суворо конфіденційною, надаючи Intel можливість вжити заходів для виправлення ситуації.

Насправді, згідно з поданим позовом, Йі був не єдиним, хто попереджав Intel про вразливості AVX. Ключовий аргумент позивачів полягає в тому, що «Влітку 2018 року, коли Intel боролася з наслідками Spectre та Meltdown і обіцяла внести апаратні виправлення в майбутніх поколіннях процесорів, компанія отримала два окремі звіти про вразливості від третіх сторін, в яких відзначався набір вразливостей в інструкціях AV для процесорів Intel» . Позивачі наголошують, що Intel визнала факт ознайомлення з цими звітами.

Основна скарга в позовній заяві, поданій до Окружного суду США в Сан-Хосе, стосується не самого факту існування вразливості Downfall або зниження продуктивності внаслідок її виправлення патчем, а того, що Intel з 2018 року «сидить склавши руки», як стверджують позивачі . На їхню думку, Intel свідомо продала з 2018 року мільярди процесорів із «дефектом» . Це призвело до двох неприйнятних варіантів для покупців: або залишити свій комп'ютер вразливим, або застосувати патч, який знищує продуктивність процесора . Саме тому позивачі вимагають від Intel "справедливого відшкодування збитків".