Downfall es una de las ultimas vulnerabilidades de seguridad que han afectado a los procesadores del team azul en los últimos años. Ahora una demanda colectiva contra Intel, revela que la empresa era consiente de esta falla desde 2018, pero optó por mantenerla en secreto, y seguir vendiendo productos afectados.
Esta demanda, presentada en un tribunal federal en San José, California, sostiene que Intel no manejó correctamente la vulnerabilidad Downfall en sus procesadores a pesar de estar informada sobre ella, y que se redescubrió independientemente la falla en 2023. Esta situación dejó a los clientes con CPU Intel, vulnerables, cuyo rendimiento se vio gravemente afectado por las medidas de mitigación implementadas.
Conocida también como Gather Data Sampling (GDS), Downfall (CVE-2022-40982) es una falla de seguridad que afecta a procesadores desde la sexta hasta la undécima generación y desde la primera hasta la cuarta generación de CPUs Xeon Intel x86-64. Esta vulnerabilidad impacta las instrucciones de Extensiones Vectoriales Avanzadas (AVX) en los procesadores modernos de Intel y se puede explotar para acceder a información sensible en los registros vectoriales.
Según investigadores de Google que descubrieron la vulnerabilidad, miles de millones de CPU de Intel, tanto en computadoras personales como en la nube, podrían verse comprometidas, revelando datos privados de los usuarios.
Los demandantes
Según la demanda colectiva, Intel fue informada sobre Downfall en 2018, con varios reportes. En ese momento, la compañía estaba ocupada lidiando con Spectre y Meltdown en sus CPU, y aparentemente decidió pasar por alto la vulnerabilidad Downfall. Además de todo esto, las actualizaciones lanzadas posteriormente por Intel ralentizaron el rendimiento de las CPU en hasta un 50% para ciertas tareas informáticas, afirma la demanda.
Intel no solucionó Downfall durante tres generaciones más de sus procesadores x86, y ahora los clientes que utilizan software para edición de fotografías y vídeos, juegos y cifrado deben pagar injustamente por la negligencia de la empresa. En la demanda colectiva afirman que Intel ha implementado algunos «búferes secretos» relacionados con las instrucciones AVX, que básicamente están destinados a suprimir las amenazas de la vulnerabilidad durante un período temporal. En lugar de solucionar el problema, esto aumentó el riesgo, lo que provocó ataques que terminaron con el robo de datos.
Fuente: WCCFTECH