.jpg)
CPU’larındaki veri sızdıran hataları ele alması nedeniyle bu hafta Intel’e karşı toplu dava şikayeti sunuldu.
Amerika Birleşik Devletleri Bölge Mahkemesi’nin Kaliforniya Kuzey Bölgesi’nin San Jose Bölümü’ne sunulan 112 sayfalık bir dosyada, beş temsilci davacı, çip devinin son beş yılda ortaya çıkan “Çöküş” hatası gibi sorunları mümkün kılan hatalı talimatlardan haberdar olduğunu iddia ediyor. aslında herhangi bir düzeltme yayınlamadan önce.
Intel’in ihmalinin yasal bir suç teşkil edip etmediğini belirlemek karmaşık olabilir ve bunun teknoloji endüstrisi için geniş kapsamlı sonuçları olabilir.
Viakoo’daki Viakoo Laboratuvarları’nın başkan yardımcısı John Gallagher, “Hiçbir zaman bir kusura sahip olmamak gerçekçi olmayan bir taleptir” diyor, ancak “bir tedarikçinin zamanında bir yama uygulamaması nedeniyle verilerim çalınırsa, onları dava edebilmeliyim” ihmalden dolayı.”
Intel, Çip Sorunlarını Nasıl Ele Aldı?
Çöküş, Intel’in altıncı ila on birinci nesil CPU’larında 6,5 orta dereceli CVSS dereceli bilgi ifşa etme güvenlik açığı olan CVE-2022-40982’ye verilen addı. Bir Google araştırmacısının geçen Ağustos’taki Black Hat etkinliğinde açıkladığı gibi, bir saldırgan, paylaşılan bir bilgisayar ortamında diğer kullanıcıların ayrıcalıklı bilgilerine erişim elde etmek amacıyla işlemcilerin spekülatif yürütme için kullandığı güvenlik açığı bulunan bir talimattan yararlanabilir.
Dünya çapında milyonlarca, hatta milyarlarca bilgisayarda bulunmasına rağmen (Intel, küresel x86 CPU pazarının çoğunluğuna sahiptir), “bireysel düzeyde bu çoğu insanı etkilemeyecektir; nispeten karmaşık bir istismardır ve bir kullanıcıya dayanmaktadır. Gallagher, bir bilgisayar veya bulut ortamının paylaşıldığını belirtiyor.
Google araştırmacısı Çöküş’ü ilk kez ağustos ayında gündeme getirmiş olsa da, yeni dava bunun çok daha ötesine işaret ediyor.
2018’de bir donanım meraklısı, Intel CPU’larda Çöküş tarzı geçici yürütme güvenlik açığını gösteren bulgular yayınladı. Bu, daha kötü şöhrete sahip diğer çip hatalarına (Spectre ve Meltdown) benziyordu ve yine benzer bir durum olan NetSpectre, tam da aynı zamanlarda ortaya çıktı.
“Ancak, konuyla ilgili olarak Intel’e yapılan çok sayıda (kamuya açık) güvenlik açığı açıklamasına rağmen, Intel dikkatli bir şekilde analiz etmedi.[sic] AVX ISA’daki olası yan etkiler ve bunları 2018’de düzeltmek için mühendislik donanım çözümleri. Veya 2019, 2020, 2021 veya 2022’de. Bunun yerine Intel, kârı ilk sıraya koydu ve kusurlu CPU’ları, bunların hatalı olduğunu açıkça bildiği halde yıllarca satıyor. Arızalı” şikayetinde belirtiliyor.
Bu yıl Black Hat’in açığa çıkmasıyla uyumlu olarak Intel, Downfall için bir yama yayınladı. Ancak şikayete göre bu yama, işlem hızlarını öyle bir düşürüyor ki, “davacılar ya saldırılara karşı son derece savunmasız olan ya da bunları ‘düzeltmek’ için tanınmayacak kadar yavaşlatılması gereken kusurlu CPU’larla kalıyor.”
Bunun için iddia makamı, “Intel’e karşı (a) duruşmada belirlenecek miktarda fiili zarar veya (b) her davacı için 10.000 ABD Doları tutarında yasal tazminattan hangisi daha büyük olursa olsun parasal tazminat” talep ediyor.
Intel Yasal Olarak Sorumlu Tutulmalı mı?
Zayıf güvenlik açığı iyileştirmesinin doğrudan ihmale dönüşeceği eşik, henüz kanunla açıkça tanımlanmamıştır.
“Gelecek yıl, Intel’in ‘kayan nokta hatası’nın manşetlere çıkmasından ve Intel’in (potansiyel olarak yasal olarak sorumlu bulunmayı önlemek için) çiplerini geri çağırmasına neden olmasından bu yana 30 yıl olacak. O zamandan bu yana yasal sorumluluk pek açık değil, çünkü orada Gallagher, “Bu durum her zaman yasal sorumluluk düzeyine ulaşmayacak küçük vakalar ve küçük kusurlar olacaktır” diye düşünüyor.
Intel hatalı olsa da olmasa da, çoğu bilgisayar sahibi için sınırlı sonuçları olan karmaşık bir yan kanal hatası, bu eğilimi tersine çevirecek en net durumu ortaya koymuyor. “Bu, makul bir şekilde önlenebilecek, geniş çapta istismar edilen bir kusur olsaydı, yasal sorumluluğa yol açabilirdi, ancak bu olmadan, en sıkı test ve ürün tasarımında bile kusurların nasıl ortaya çıkabileceğinin bir başka örneğidir” diyor .
“Çip düzeyindeki bir mimari kusurdan yararlanan her yan kanal saldırısı yasal bir dava olarak getirilseydi” diye bitiriyor, “bağlantı noktaları dolup taşardı.”
İddia makamını temsil eden Bathaee Dunne LLP, bu hikaye hakkında yorum yapmayı reddetti. Dark Reading ayrıca bu yayın itibarıyla henüz yanıt vermemiş olan Intel’e de ulaştı.