11月17日消息,據外媒報道,英特爾近期被指控在2018年就發現了其處理器存在「Downfall」漏洞,而英特爾為了避免更新修補漏洞會影響處理器性能,竟對該漏洞置之不理,放任存在安全隱患的產品進入市場,讓使用者面臨不必要的安全風險。
據悉,「Downfall」漏洞(編號CVE-2022-40982)主要影響英特爾第6代至第11代消費類處理器(Core、Celeron及Pentium系列),以及第1代至第4代Xeon x86-64 CPU。
谷歌(Google)研究員表示,漏洞導致數十億個人和雲計算產品當中的英特爾CPU可能被黑客操控泄露敏感數據。漏洞位於「Gather」AVX CPU指令,推測執行期間會有泄漏向量寄存器檔案內容的風險。
英特爾2018年便發現漏洞,因為英特爾收到了兩份「Downfall」漏洞的安全通報,但英特爾當時正全力處理CPU構架當中的「Spectre」和「Meltdown」漏洞,因此決定隱瞞「Downfall」漏洞,並放任其繼續存在,直到Google研究員Daniel Moghimi在2022年發現,今年8月公開信息後,才讓事件曝光。
在公開英特爾處理器的「Downfall」漏洞前,Moghimi有給英特爾時間開發CPU代碼更新修補,但英特爾發現更新後執行簡單運算任務時可能使CPU性能降低近50%。
面對有安全缺陷的處理器,顯然只有兩條路可走:要麼隱瞞漏洞放任攻擊,要麼修復漏洞,但需要承擔處理器性能下降後果。英特爾顯然選擇第一條路,放任有漏洞產品上市可能帶來的安全隱患。
此外,英特爾還製造出AVX瑕疵指令相關的「秘密緩衝區」,且從未披露。緩衝區宛如讓存在「Downfall」漏洞處理器的電腦、工作站與伺服器開後門,攻擊者可竊取內存儲存的敏感信息。
對此,近期有五位受害者以自身名義及「全美CPU消費者」代表於當地時間11月8日在美國北加州聯邦地方法院聖何塞分院提起集體訴訟。目前英特爾還未響應。不論訴訟結果如何,英特爾安全聲譽已受不小影響。
編輯:芯智訊-林子
文章來源: https://twgreatdaily.com/zh-my/4269e59d9d5409f1e38824ffa6a2a101.html