Een handjevol Amerikaanse pc-eigenaren heeft Intel aangeklaagd vanwege de Downfall-beveiligingslek (PDF). Die treft een groot aantal Intel-processors en biedt aanvallers de mogelijkheid toegang te krijgen tot belangrijke gegevens zoals wachtwoorden, bankgegevens en e-mails.
Intel zou al sinds 2018 af hebben geweten van de kwetsbaarheid in de avx-instructieset, maar er niks aan hebben gedaan tot het bestaan van Downfall eerder dit jaar naar buiten werd gebracht door een groep securityonderzoekers, beweren de aanklagers. "Het heeft zijn huidige chips niet gefixt, en ook de chips van de drie daaropvolgende generaties zijn niet opnieuw ontworpen om er zeker van te zijn dat de avx-instructies veilig verlopen bij speculatieve executie."
Er wordt gesteld dat kwaadwillenden van dezelfde designfout gebruik kunnen maken als bij de Spectre- en Meltdown-kwetsbaarheden en dat Intel daarvan af wist, maar desondanks had beloofd dat het een hardwareredesign heeft doorgevoerd waarmee dergelijke speculative execution-aanvallen voorkomen worden. Inmiddels heeft intel overigens wel een microcode-update uitgebracht die het probleem softwarematig moet oplossen, maar dat gaat wel ten koste van de prestaties. Volgens Intel gaat het om een prestatieverlies van maximaal vijftig procent. De klagers willen een vergoeding voor Intels keus om deze processors met de kwetsbaarheid te verkopen en voor de prestatieslopende update. De chipfabrikant heeft nog niet gereageerd op de aanklacht.
Bronnen: Class-actionklacht van Amerikaanse rechtbank (PDF), Via The Register
