A Intel poderá em breve se encontrar contra uma parede proverbial após a divulgação da vulnerabilidade do chip “Downfall” no início deste mês. De acordo com um agregador de ações coletivas, há agora um interesse aberto em prosseguir com uma ação judicial contra a Intel por danos relacionados à vulnerabilidade Downfall. Isso não é surpreendente, visto que a correção do bug pode resultar em até 39% menos desempenho em algumas cargas de trabalho e impactar o que pode chegar a bilhões de processadores. Convocada pelo escritório de advocacia Bathaee Dunne LLP, a investigação de ação coletiva (que ainda está atraindo interesse, demandantes e informações) visa forçar a Intel a compensar os clientes pela “perda de valor, desempenho reduzido, problemas de segurança e outros danos decorrentes da Queda vulnerabilidade.”
A Queda da Intel é outra vulnerabilidade de alto impacto e difícil de mitigar que ataca a execução especulativa – um recurso das CPUs modernas que visa prever quais dados e/ou operações serão necessários para que uma carga de trabalho seja concluída antes mesmo que as informações sejam necessárias. A execução especulativa visa, portanto, manter essa informação pronta e facilmente acessível para processamento. Ainda assim, à medida que aumenta a quantidade de vulnerabilidades em cenários de execução especulativa, também observamos uma tendência em que a correção desses problemas tem um impacto correspondentemente negativo no desempenho. Por enquanto, parece que as mitigações da Intel para o Downfall têm um custo médio de desempenho em torno da marca de 39%.
A própria Intel disse que o desempenho pode diminuir até 50% em certos cenários, mostrando o quão importante é a execução especulativa para o desempenho de uma CPU moderna. Considerando como a vulnerabilidade afeta os processadores Intel de 6ª geração (Skylake) a 11ª geração (Rocket Lake), incluindo produtos Xeon baseados nas mesmas arquiteturas, a quantidade de CPUs Intel afetadas provavelmente chegará a bilhões.
O argumento para a ação coletiva decorre do fato de que os usuários afetados (como a Intel) ficam entre a espada e a espada: eles pagaram 100% do custo de uma CPU (o que, na linha da Intel, se traduz em um desempenho esperado). Mas agora, os utilizadores têm de escolher entre deixar os seus sistemas vulneráveis ao Queda ataque de execução especulativo (não é bom) ou prejudica significativamente o desempenho em cargas de trabalho que são importantes para eles (também não é bom).
Mas, neste caso, manter a vulnerabilidade sem solução poderá ter um impacto real nas empresas e nos utilizadores. De acordo com o pesquisador de segurança Danial Moghimi (que inicialmente divulgou Queda), a vulnerabilidade permitiria que aplicativos e serviços maliciosos de terceiros roubassem informações confidenciais, incluindo senhas, detalhes financeiros e até mesmo dados armazenados na nuvem.
Considerando como a AMD também teve seu quinhão de vulnerabilidades (como Inception, Squip e seu recente bug “Divide by zero”), resta saber se algo semelhante também visará os resultados financeiros da equipe vermelha.