인텔은 몰락 CPU 취약점에 대해 알고 있었지만 5년 동안 아무 조치도 취하지 않았다고 새로운 집단 소송이 주장했다

원문 : 인텔은 몰락 CPU 취약점에 대해 알고 있었지만 5년 동안 아무 조치도 취하지 않았다고 새로운 집단 소송 주장 | 테크스팟(TechSpot)

Intel knew about the Downfall CPU vulnerability but did nothing for five years, a new class action claims

 

인텔은 지난 10여년간 성장없이 너무 긴 암흑기를 거쳤고 또다시 새로운 문제에 직면 했습니다.

 

몰락은 지난 몇 년 동안 인텔 프로세서에서 발견된 일련의 보안 취약점 중 가장 최근의 것입니다. 새로운 집단 소송에 따르면 Chipzilla는 결함의 존재를 잘 알고 있었지만 취약한 제품을 판매하여 비밀로 유지하기로 결정했습니다.

 

캘리포니아 산호세에 있는 미국 연방 법원에 제기된 집단 소송에 따르면 인텔은 2018년에 몰락 취약점에 대해 통보받았지만 회사는 프로세서에서 문제를 해결하지 않았고 결함은 2023년에 독립적으로 재발견되었습니다. 인텔은 고객에게 취약한 CPU를 남겨 두었고, 이는 나중에 성능 저하 완화로 인해 불구가 된 제품으로 바뀌었습니다.

GDS(Gather Data Sampling)라고도 하는 Downfall(CVE-2022-40982)은 6세대에서 11세대 소비자 칩과 1세대에서 4세대까지의 Xeon Intel x86-64 CPU에 영향을 미치는 보안 결함입니다. 일시적인 실행 결함은 최신 Intel CPU에 있는 AVX(Advanced Vector Extensions) 명령에 영향을 미치며 벡터 레지스터의 내용을 표시하는 데 악용될 수 있습니다.

개인용 및 클라우드 컴퓨터에 사용되는 수십억 개의 Intel CPU는 비밀 사용자 데이터를 공개하도록 강요받을 수 있다고 결함을 발견한 Google 연구원은 설명했습니다. "Gather" AVX CPU 명령은 예측 실행 중에 내부 벡터 레지스터 파일의 내용을 유출하며, 악의적인 행위자는 이 결함을 악용하여 암호, 암호화 키, 은행 세부 정보 등을 훔칠 수 있습니다.

 

새로운 집단 소송을 추진하는 5명의 원고에 따르면, 인텔은 2018년 두 건의 별도 보고서를 통해 몰락에 대한 정보를 받았다. 이 회사는 당시 CPU 아키텍처의 Spectre 및 Meltdown 결함을 처리하느라 바빴고 AVX 명령어의 Downfall 취약점을 간과하기로 결정한 것 같습니다. 더욱이 인텔이 나중에 출시한 마이크로코어 업데이트는 특정 "일반 컴퓨팅 작업"의 경우 CPU 성능을 최대 50%까지 저하시킬 수 있다고 소송은 주장합니다.

현대적인(ish) Intel CPU의 소유자는 이제 공격에 "지독하게 취약"하거나 Downfall 결함을 수정하기 위해 "인식할 수 없을 정도로" 속도를 늦춰야 하는 결함이 있는 제품을 갖게 되었다고 집단 소송은 말합니다. 원고가 구입한 CPU는 성능이 "상당히 다르고" 가치가 훨씬 낮기 때문에 원고가 구입한 CPU가 아닙니다.

인텔은 x86 칩의 3세대에 대해 몰락을 수정하지 않았으며, 이제 사진 및 비디오 편집, 게임 및 암호화에 소프트웨어를 사용하는 고객은 회사의 과실에 대해 부당하게 비용을 지불해야 합니다. 설상가상으로 집단 소송은 인텔이 AVX 결함 명령과 관련된 일부 "비밀 버퍼"를 구현했다고 주장하지만 그 존재를 공개적으로 공개하지는 않았습니다.

Downfall 취약점과 함께 이러한 비밀 버퍼는 Intel CPU에서 백도어 역할을 했습니다. 공격자는 이러한 설계 결함을 악용하여 RAM에 저장된 중요한 정보를 얻을 수 있습니다. 2018년 Intel은 Meltdown 및 Spectre에 대한 하드웨어 수정을 구현했다고 공개적으로 밝혔지만 회사는 AVX 지침이 유사한 사이드 채널 공격을 허용한다는 사실을 알고 있었습니다. 지금까지 인텔은 집단 소송에 대한 논평을 거부했습니다.