Intel demandada por vender a sabiendas procesadores defectuosos

Según Tom's Guide , la vulnerabilidad es explotada por las instrucciones AVX2 y AVX-512 mediante un ataque que Intel denomina "Gather Data Sampling" (GDS). La información sobre la próxima demanda se conoció por primera vez en agosto de 2023. La vulnerabilidad afecta a los procesadores Intel de la 6.ª generación (Skylake) a la 11.ª (Rocket Lake), incluidos los chips Xeon basados ​​en la misma arquitectura, lo que podría afectar a miles de millones de procesadores.

Intel admitió que, para algunas cargas de trabajo, la caída del rendimiento tras instalar el parche podría alcanzar el 50 %. Una serie de pruebas realizadas poco después de descubrirse el incidente mostró una degradación del rendimiento de hasta el 39 %, siendo las aplicaciones que dependían en gran medida de las instrucciones AVX2 y AVX-512 las más afectadas.

En 2018, cuando se descubrió Downfall, varios sitios de noticias informaron de la amplia difusión de las vulnerabilidades Spectre y Meltdown, que afectan al proceso de ejecución especulativa que muchos procesadores modernos utilizan para acelerar los cálculos. Esto impulsó a los investigadores de seguridad a investigar vectores de ataque similares. En junio de 2018, el investigador Alexander Yee informó sobre una nueva variante de Spectre para procesadores Intel, centrada en AVX y AVX512. La información se mantuvo estrictamente confidencial durante dos meses para que Intel pudiera actuar y solucionar la situación.

De hecho, según la demanda, Yee no fue el único en advertir a Intel sobre las vulnerabilidades de AVX. En concreto, los demandantes afirman: «En el verano de 2018, mientras Intel lidiaba con las consecuencias de Spectre y Meltdown y prometía soluciones de hardware para las futuras generaciones de procesadores, la compañía recibió dos informes de vulnerabilidad de terceros que identificaban varias vulnerabilidades relacionadas con AVX en sus procesadores». Los demandantes señalan que Intel reconoció haber leído estos informes.

La principal queja en los documentos judiciales, que exige un juicio con jurado en el Tribunal de Distrito de EE. UU. en San José, no se centra en la existencia de la vulnerabilidad Downfall ni en la penalización de rendimiento derivada de los parches, sino en la inacción de Intel. Los demandantes alegan que la compañía conocía la falla de Downfall desde 2018, pero que, a sabiendas, ha vendido miles de millones de procesadores desde que se descubrió. Esto deja a los consumidores con dos opciones (ambas inaceptables): comprar procesadores vulnerables o instalar un parche que reduce el rendimiento para protegerlos. Por eso, los demandantes solicitan una compensación a Intel.