インテル、欠陥のあるプロセッサを故意に販売したとして訴訟される

Tom's Guideによると、この脆弱性は、IntelがGather Data Sampling（GDS）と呼ぶ攻撃を通じて、AVX2およびAVX-512命令によって悪用されるとのこと。この訴訟に関する情報は、2023年8月に初めて明らかになった。この脆弱性は、第6世代（Skylake）から第11世代（Rocket Lake）までのIntelプロセッサ（同じアーキテクチャに基づくXeonチップを含む）に影響を及ぼし、数十億個のプロセッサに影響を与える可能性がある。

Intelは、一部のワークロードではパッチ適用後にパフォーマンスが最大50%低下する可能性があることを認めました。インシデント発覚直後に実施された一連のテストでは、最大39%のパフォーマンス低下が見られ、AVX2およびAVX-512命令に大きく依存するアプリケーションが最も大きな影響を受けました。

2018年にDownfallが発見された際、多くの最新プロセッサが計算を高速化するために使用する投機的実行プロセスを標的とするSpectreとMeltdownの脆弱性が広く公表されたことが、一連のニュースサイトで報じられました。これをきっかけに、セキュリティ研究者は同様の攻撃ベクトルの調査を開始しました。2018年6月、研究者のAlexander Yee氏は、AVXとAVX512を標的としたIntelプロセッサ向けのSpectreの新たな亜種を報告しました。この情報は、Intelが状況を改善するための対策を講じる機会を与えるため、2ヶ月間厳重に機密扱いされていました。

実際、訴状によると、AVXの脆弱性についてIntelに警告したのはYee氏だけではありませんでした。具体的には、原告は「2018年夏、IntelがSpectreとMeltdownの影響に対処し、将来世代のプロセッサ向けにハードウェア修正を約束していた際、同社は2件の別々のサードパーティ製脆弱性レポートを受け取りました。これらのレポートでは、Intelのプロセッサに複数のAVX関連の脆弱性が特定されていました」と述べています。原告は、Intelがこれらのレポートを読んだことを認めたと指摘しています。

サンノゼの米国地方裁判所で陪審裁判を求める訴訟資料の主な訴状は、ダウンフォール脆弱性の存在やパッチによるパフォーマンスの低下ではなく、インテルの「手をこまねいている」行動に焦点を当てています。原告は、インテルがダウンフォールの脆弱性を2018年から認識していたにもかかわらず、脆弱性が発見されて以来、数十億個ものプロセッサを故意に販売していたと主張しています。これにより、消費者には2つの（どちらも受け入れられない）選択肢が残されています。脆弱なプロセッサを購入するか、パフォーマンスを低下させるパッチをインストールして保護するかです。これが、原告がインテルに損害賠償を求めている理由です。