英特尔隐瞒处理器“Downfall”漏洞及“秘密缓冲区”，面临集体诉讼

11月17日消息，据外媒报道，英特尔近期被指控在2018年就发现了其处理器存在“Downfall”漏洞，而英特尔为了避免更新修补漏洞会影响处理器性能，竟对该漏洞置之不理，放任存在安全隐患的产品进入市场，让使用者面临不必要的安全风险。

据悉，“Downfall”漏洞（编号CVE-2022-40982）主要影响英特尔第6代至第11代消费类处理器（Core、Celeron及Pentium系列），以及第1代至第4代Xeon x86-64 CPU。

谷歌（Google）研究员表示，漏洞导致数十亿个人和云计算产品当中的英特尔CPU可能被黑客操控泄露敏感数据。漏洞位于“Gather”AVX CPU指令，推测执行期间会有泄漏向量寄存器档案内容的风险。

英特尔2018年便发现漏洞，因为英特尔收到了两份“Downfall”漏洞的安全通报，但英特尔当时正全力处理CPU构架当中的“Spectre”和“Meltdown”漏洞，因此决定隐瞒“Downfall”漏洞，并放任其继续存在，直到Google研究员Daniel Moghimi在2022年发现，今年8月公开信息后，才让事件曝光。

在公开英特尔处理器的“Downfall”漏洞前，Moghimi有给英特尔时间开发CPU代码更新修补，但英特尔发现更新后执行简单运算任务时可能使CPU性能降低近50%。

面对有安全缺陷的处理器，显然只有两条路可走：要么隐瞒漏洞放任攻击，要么修复漏洞，但需要承担处理器性能下降后果。英特尔显然选择第一条路，放任有漏洞产品上市可能带来的安全隐患。

此外，英特尔还制造出AVX瑕疵指令相关的“秘密缓冲区”，且从未披露。缓冲区宛如让存在“Downfall”漏洞处理器的电脑、工作站与服务器开后门，攻击者可窃取內存储存的敏感信息。

对此，近期有五位受害者以自身名义及“全美CPU消费者”代表于当地时间11月8日在美国北加州联邦地方法院圣何塞分院提起集体诉讼。目前英特尔还未响应。不论诉讼结果如何，英特尔安全声誉已受不小影响。

编辑：芯智讯-林子