Según Tom's Guide , la vulnerabilidad es explotada por las instrucciones AVX2 y AVX-512 a través de un ataque que Intel llama Gather Data Sampling (GDS). Las primeras noticias sobre la próxima demanda surgieron en agosto de 2023. La vulnerabilidad afecta a los procesadores Intel de la 6ª (Skylake) a la 11ª (Rocket Lake) generación, incluidos los chips Xeon basados en la misma arquitectura, afectando potencialmente a miles de millones de procesadores.
Se dice que Intel sabía de la existencia de la vulnerabilidad Downfall, pero "se quedó de brazos cruzados y observó"
Intel admite que, para algunas cargas de trabajo, la caída del rendimiento después de instalar el parche de vulnerabilidad puede ser de hasta el 50%. Una serie de pruebas realizadas poco después de descubrirse el incidente mostraron una degradación del rendimiento de hasta un 39%, siendo las aplicaciones que dependían en gran medida de las instrucciones AVX2 y AVX-512 las más gravemente afectadas.
En 2018, cuando se descubrió la vulnerabilidad Downfall, una serie de sitios de noticias informaron que las vulnerabilidades Spectre y Meltdown, que fueron ampliamente publicitadas por piratas informáticos que apuntaban al proceso de ejecución especulativa que muchos procesadores modernos utilizan para acelerar los cálculos, fueron ampliamente publicitadas. Esto llevó a los investigadores de seguridad a comenzar a buscar vectores de ataque similares. En junio de 2018, el investigador Alexander Yee informó sobre una nueva variante de la vulnerabilidad Spectre para procesadores Intel que se centraba en AVX y AVX512. Esta información se mantuvo estrictamente confidencial durante dos meses para darle a Intel la oportunidad de actuar para remediar la situación.
De hecho, según la demanda, Yee no fue el único que advirtió a Intel sobre las vulnerabilidades de AVX. En concreto, los demandantes dijeron: "En el verano de 2018, mientras Intel lidiaba con las consecuencias de Spectre y Meltdown y prometía soluciones de hardware para futuras generaciones de procesadores, la empresa recibió dos informes de vulnerabilidad de terceros que mencionaban varias vulnerabilidades relacionadas con AVX para sus procesadores". Los demandantes señalan que Intel reconoció haber leído estos informes.
La queja principal en el documento judicial que exige un juicio con jurado en el Tribunal de Distrito de los EE. UU. en San José no se centra en la existencia de la vulnerabilidad Downfall o la penalización del rendimiento por los parches, sino en las acciones de "cruce de brazos" de Intel. Los demandantes alegan que la empresa conocía el defecto detrás de Downfall desde 2018, pero ha seguido vendiendo miles de millones de procesadores desde que se descubrió el fallo. Esto deja a los usuarios con sólo dos opciones (ambas inaceptables): comprar procesadores vulnerables o instalar un parche de CPU que destruya el rendimiento para protegerlos. Es por ello que el demandante solicita una indemnización a Intel.
Enlace de origen
Kommentar (0)