英特爾隱瞞處理器「Downfall」漏洞及「祕密緩衝區」，面臨集體訴訟

英特爾遭指 2018 年就發現的處理器漏洞「Downfall」，為了避免更新會影響處理器效能，竟置之不理，任有安全疑慮的產品流入市面，讓使用者面臨不必要的風險。

「Downfall」漏洞（編號 CVE-2022-40982）主要影響 Intel 第 6~11 代消費性處理器（Core、Celeron 及 Pentium 系列），以及第 1~4 代 Xeon x86-64 CPU。

Google 研究員表示，漏洞導致數十億個人和雲端運算英特爾 CPU 可能被駭客操控洩露敏感資料。漏洞位於「Gather」AVX CPU 指令，推測執行期間會有洩漏向量暫存器檔案內容的風險。

英特爾 2018 年便發現漏洞，因英特爾明明收到兩份 Downfall 漏洞的安全通報，但英特爾正全力處理 CPU 架構 Spectre 和 Meltdown 漏洞，決定隱瞞 Downfall 並放任漏洞繼續存在，直到 Google 研究員 Daniel Moghimi 在 2022 年發現，今年 8 月公開訊息後，才讓事件曝光。

公開英特爾處理器 Downfall 漏洞前，Moghimi 有給英特爾時間開發 CPU 微碼更新修補，但英特爾發現微碼執行簡單運算任務時可能使 CPU 效能降低近 50%。

面對有安全缺陷的處理器，顯然只有兩條路可走：要麼隱瞞漏洞放任攻擊，要麼修復漏洞但承擔處理器效能下降後果。英特爾顯然選擇第一條路，放任有漏洞產品上市而不顧使用者與企業的死活。

更誇張的是英特爾還製造出 AVX 瑕疵指令相關的「祕密緩衝區」，且從未披露。緩衝區宛如讓內建 Downfall 漏洞處理器的電腦、工作站與伺服器開後門，攻擊者可竊取記憶體儲存的敏感資訊。

為了討回公道，五位受害者以自身名義及「全美 CPU 消費者」代表 8 日至北加州聯邦地方法院聖荷西分院提起集體訴訟。目前英特爾還未回應。不論訴訟結果如何，英特爾安全聲譽已受不小影響。