英特爾隱瞞處理器Downfall漏洞及“秘密緩沖區”，面臨集體訴訟

11月17日消息，據外媒報道，英特爾近期被指控在2018年就發(fā)現了其處理器存在“Downfall”漏洞，而英特爾為了避免更新修補漏洞會(huì )影響處理器性能，竟對該漏洞置之不理，放任存在安全隱患的產(chǎn)品進(jìn)入市場(chǎng)，讓使用者面臨不必要的安全風(fēng)險。

據悉，“Downfall”漏洞（編號CVE-2022-40982）主要影響英特爾第6代至第11代消費類(lèi)處理器（Core、Celeron及Pentium系列），以及第1代至第4代Xeon x86-64 CPU。

谷歌（Google）研究員表示，漏洞導致數十億個(gè)人和云計算產(chǎn)品當中的英特爾CPU可能被黑客操控泄露敏感數據。漏洞位于“Gather”AVX CPU指令，推測執行期間會(huì )有泄漏向量寄存器檔案內容的風(fēng)險。

英特爾2018年便發(fā)現漏洞，因為英特爾收到了兩份“Downfall”漏洞的安全通報，但英特爾當時(shí)正全力處理CPU構架當中的“Spectre”和“Meltdown”漏洞，因此決定隱瞞“Downfall”漏洞，并放任其繼續存在，直到Google研究員Daniel Moghimi在2022年發(fā)現，今年8月公開(kāi)信息后，才讓事件曝光。

在公開(kāi)英特爾處理器的“Downfall”漏洞前，Moghimi有給英特爾時(shí)間開(kāi)發(fā)CPU代碼更新修補，但英特爾發(fā)現更新后執行簡(jiǎn)單運算任務(wù)時(shí)可能使CPU性能降低近50%。

面對有安全缺陷的處理器，顯然只有兩條路可走：要么隱瞞漏洞放任攻擊，要么修復漏洞，但需要承擔處理器性能下降后果。英特爾顯然選擇第一條路，放任有漏洞產(chǎn)品上市可能帶來(lái)的安全隱患。

此外，英特爾還制造出AVX瑕疵指令相關(guān)的“秘密緩沖區”，且從未披露。緩沖區宛如讓存在“Downfall”漏洞處理器的電腦、工作站與服務(wù)器開(kāi)后門(mén)，攻擊者可竊取內存儲存的敏感信息。

對此，近期有五位受害者以自身名義及“全美CPU消費者”代表于當地時(shí)間11月8日在美國北加州聯(lián)邦地方法院圣何塞分院提起集體訴訟。目前英特爾還未響應。不論訴訟結果如何，英特爾安全聲譽(yù)已受不小影響。

編輯：芯智訊-林子