英特尔被诉销售漏洞处理器，企业不修漏洞和修复不力的界限在哪里？

前情回顾·巨头光辉中的阴翳

• 苹果谷歌漏洞披露不完整，让腾讯QQ等数百万应用处于危险之中

• TikTok未修漏洞节省数千万美元，一年后在海外大选期间遭利用

• VMware被指缺乏安全功能，坐视虚拟化平台逐步沦为网络犯罪猎物

• 制造问题，收保护费？微软网络安全霸主地位的“阴暗面”

安全内参11月15日消息，英特尔当前面临一项集体诉讼，被控对中央处理器（CPU）数据泄露漏洞处理不力。

这份诉状共112页，提交至美国加州北区圣何塞分区联邦地方法院。五名原告代表声称，这家芯片巨头对引发近期“Downfall”漏洞的错误指令完全知情，却拖延了近五年才发布补丁。

英特尔的不作为是否违法，界定起来可能比较复杂。界定结果也将对科技产业带来广泛影响。

Viakoo实验室副总裁John Gallagher表示，“要求永远没有漏洞肯定不现实。但是，假设我的数据被盗，是因为供应商没有及时应用补丁，我有理由起诉他们不作为。”

英特尔如何处理芯片问题

Downfall漏洞编号为CVE-2022-40982，是英特尔第六到第十一代处理器中的信息披露漏洞，CVSS漏洞评分为6.5，属中等级别。今年8月，谷歌研究人员在黑帽大会上透露，攻击者可以利用处理器推测执行时使用的有漏洞指令，获取共享计算环境中其他用户的特权信息。

由于英特尔占据全球x86处理器市场的大部分份额，Downfall漏洞可以影响全球数百万甚至数十亿台计算机。John Gallagher指出，“在个人层面上，大多数人不会受到影响。漏洞利用相对复杂，需要用户共享计算机或云环境。”

Downfall漏洞在今年8月才由谷歌研究人员公之于众，而英特尔面临的集体诉讼针对的是更早些年的情况。

2018年，一位硬件爱好者发布研究结果，展示了英特尔处理器中类似Downfall的瞬时执行漏洞。这与其他更为臭名昭著的芯片漏洞，比如Spectre和Meltdown，以及另一个类似案例NetSpectre十分相似。这些漏洞几乎同时出现。

诉状称，“英特尔已经收到多次（公开的）漏洞披露报告，都提到了这些漏洞。然而，英特尔并没有仔细分析高级矢量扩展指令集架构（AVX ISA）可能有哪些副作用，也没有研究工程上的解决方案，未能在2018年、2019年、2020年、2021年或2022年修复这些漏洞。相反，英特尔将利润放在第一位，长年故意销售有缺陷的处理器。”

今年黑帽大会Downfall漏洞曝光后，英特尔同期发布了漏洞补丁。诉状指出，这个补丁大幅削弱了处理速度，导致“原告们要么继续使用极易受到攻击的有缺陷处理器，要么以无法接受的运行速度‘修复’漏洞。”

英特尔是否应该承担法律责任？

现行法律并没有明确定义，漏洞修复不力与完全不作为的界限。

John Gallagher回顾说，“明年将是英特尔因‘浮点错误’登上头条，被迫召回芯片30周年。从那时起，法律责任始终不太明确，因为总会存在没有达到法律责任程度的小众案例和轻微缺陷。”

无论英特尔是否有错，由于Downfall是复杂的侧信道漏洞，对大多数计算机使用者影响有限，这次诉讼案件依然不够具有代表性，无法改变法律责任界定不清的大环境。

John Gallagher表示，“如果这是一个被广泛利用的漏洞，而且可以合理预防，就可能涉及法律责任。但是，这些条件并不符合，本案只能再一次说明，即使经过最严格的测试和产品设计，缺陷仍会发生。”

他总结道，“如果对每次利用芯片级结构漏洞的侧信道攻击都提起法律诉讼，法庭的案卷肯定会不够用。”

代表原告的Bathaee Dunne律师事务所拒绝就此案发表评论，英特尔也暂未发表回应。

参考资料：https://www.darkreading.com/vulnerabilities-threats/intel-downfall-lawsuit-10k-plaintiff-ignoring-chip-bug

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。