Redan 2018 ska Intel ha fått vetskap om säkerhetsbristen i AVX2- och AVX-512-instruktionerna som nu går under namnet Downfall. Det påstår en grupp konsumenter som nu har stämt företaget, rapporterar The Register.
Stämningsansökan har lämnats in vid en federal domstol i San Jose i Kalifornien. I den påstår kärandena att Intel sommaren 2018 – samtidigt som företaget höll på att täppa de allvarliga och nära besläktade säkerhetsbristerna Spectre och Meltdown – fick två separata varningar från säkerhetsforskare om brister i AVX-instruktionerna. De pekar på ett inlägg på dåvarande Twitter och ett blogginlägg från utvecklaren Alexander Yee som beskriver en teoretisk Spectre-liknande attack med hjälp av AVX.
Alexander Yee hade tänkt publicera blogginlägget i juni 2018 men väntade ett par månader på Intels begäran. Företaget svarade till slut att innehållet redan var känt för allmänheten och att inget ytterligare behövde göras. Men konsumenterna som nu stämmer Intel påstår att företaget tack vare den här rapporten uppenbarligen kände till att AVX kunde utnyttjas för en spekulativ exekveringsattack och borde ha åtgärdat det i hårdvaran precis som Spectre och Meltdown. Istället gjorde Intel ingenting, och fem år senare betalar kunderna priset genom att tvingas välja mellan kraftigt sänkt prestanda och en känd säkerhetsbrist.
Kärandena vill att Intel döms att betala skadestånd till alla drabbade kunder och tvingas köpa tillbaka processorerna eller på annat sätt ersätta kunderna för skadan de har åsamkats.
