英特爾隱瞞處理器Downfall漏洞及“秘密緩沖區(qū)”，面臨集體訴訟

11月17日消息，據(jù)外媒報(bào)道，英特爾近期被指控在2018年就發(fā)現(xiàn)了其處理器存在“Downfall”漏洞，而英特爾為了避免更新修補(bǔ)漏洞會(huì)影響處理器性能，竟對(duì)該漏洞置之不理，放任存在安全隱患的產(chǎn)品進(jìn)入市場(chǎng)，讓使用者面臨不必要的安全風(fēng)險(xiǎn)。

據(jù)悉，“Downfall”漏洞（編號(hào)CVE-2022-40982）主要影響英特爾第6代至第11代消費(fèi)類處理器（Core、Celeron及Pentium系列），以及第1代至第4代Xeon x86-64 CPU。

谷歌（Google）研究員表示，漏洞導(dǎo)致數(shù)十億個(gè)人和云計(jì)算產(chǎn)品當(dāng)中的英特爾CPU可能被黑客操控泄露敏感數(shù)據(jù)。漏洞位于“Gather”AVX CPU指令，推測(cè)執(zhí)行期間會(huì)有泄漏向量寄存器檔案內(nèi)容的風(fēng)險(xiǎn)。

英特爾2018年便發(fā)現(xiàn)漏洞，因?yàn)橛⑻貭柺盏搅藘煞荨癉ownfall”漏洞的安全通報(bào)，但英特爾當(dāng)時(shí)正全力處理CPU構(gòu)架當(dāng)中的“Spectre”和“Meltdown”漏洞，因此決定隱瞞“Downfall”漏洞，并放任其繼續(xù)存在，直到Google研究員Daniel Moghimi在2022年發(fā)現(xiàn)，今年8月公開信息后，才讓事件曝光。

在公開英特爾處理器的“Downfall”漏洞前，Moghimi有給英特爾時(shí)間開發(fā)CPU代碼更新修補(bǔ)，但英特爾發(fā)現(xiàn)更新后執(zhí)行簡(jiǎn)單運(yùn)算任務(wù)時(shí)可能使CPU性能降低近50%。

面對(duì)有安全缺陷的處理器，顯然只有兩條路可走：要么隱瞞漏洞放任攻擊，要么修復(fù)漏洞，但需要承擔(dān)處理器性能下降后果。英特爾顯然選擇第一條路，放任有漏洞產(chǎn)品上市可能帶來的安全隱患。

此外，英特爾還制造出AVX瑕疵指令相關(guān)的“秘密緩沖區(qū)”，且從未披露。緩沖區(qū)宛如讓存在“Downfall”漏洞處理器的電腦、工作站與服務(wù)器開后門，攻擊者可竊取內(nèi)存儲(chǔ)存的敏感信息。

對(duì)此，近期有五位受害者以自身名義及“全美CPU消費(fèi)者”代表于當(dāng)?shù)貢r(shí)間11月8日在美國(guó)北加州聯(lián)邦地方法院圣何塞分院提起集體訴訟。目前英特爾還未響應(yīng)。不論訴訟結(jié)果如何，英特爾安全聲譽(yù)已受不小影響。

編輯：芯智訊-林子