Os compradores de processadores Intel entraram com uma ação coletiva alegando que a Intel vendeu conscientemente bilhões de processadores sabendo da vulnerabilidade Downfall (INTEL-SA-00828). Esta vulnerabilidade é explorada através das instruções AVX2 e AVX-512 através de um ataque que a Intel chama de Gather Data Sampling (GDS). Os demandantes afirmam que a Intel sabe dessa vulnerabilidade desde 2018, e o patch que corrige essa falha arquitetônica “retardou os processadores de forma irreconhecível”.
As informações sobre o próximo processo apareceram pela primeira vez em agosto de 2023. A vulnerabilidade Downfall afetou os processadores Intel da 6ª (Skylake) à 11ª (Rocket Lake) gerações, incluindo chips Xeon baseados nas mesmas arquiteturas – o número total deles pode realmente chegar a bilhões. A fabricante admitiu que em algumas cargas de trabalho a queda de desempenho após a instalação de um patch que fecha a vulnerabilidade pode chegar a até 50%. Uma série de testes realizados logo após a divulgação do Downfall mostrou uma perda de até 39% no desempenho. Os mais atingidos foram os aplicativos que dependiam fortemente dos conjuntos de instruções AVX2 e AVX-512.
O ano de 2018, quando a vulnerabilidade Downfall foi descoberta, foi rico em notícias sobre problemas de segurança de hardware de computadores – as vulnerabilidades Spectre e Meltdown estiveram nas manchetes da imprensa técnica. Pela primeira vez, explorações direcionadas ao processo de execução especulativa que muitos processadores modernos usam para acelerar cálculos foram reveladas ao público em geral.
Como resultado da publicidade em torno do Spectre e do Meltdown, alguns pesquisadores de segurança começaram a considerar vetores de ataque semelhantes. Em junho de 2018, Alexander Yee relatou “uma nova variante do exploit Spectre para processadores Intel usando as instruções AVX e AVX512”. Esta informação permaneceu estritamente confidencial durante dois meses, dando à Intel a oportunidade de tomar medidas para corrigir a situação.
Na verdade, de acordo com o processo, Yee não foi o único que alertou a Intel sobre as vulnerabilidades do AVX. O principal argumento dos demandantes é que “No verão de 2018, enquanto a Intel lutava contra os efeitos do Spectre e do Meltdown e prometia correções de hardware em futuras gerações de processadores, a empresa recebeu dois relatórios de vulnerabilidade separados de terceiros que observaram um conjunto de vulnerabilidades nas instruções AVX para processadores Intel.” Os demandantes enfatizam que a Intel admitiu ter lido esses relatórios.
A principal reclamação na petição, apresentada no Tribunal Distrital dos EUA em San Jose, não é sobre a existência da vulnerabilidade Downfall em si ou a diminuição do desempenho como resultado de sua correção com um patch, mas sobre o fato de a Intel ter está “parado desde 2018”, como afirmam os demandantes. Na opinião deles, a Intel vendeu deliberadamente bilhões de processadores com “defeito” desde 2018. Isso levou a duas opções inaceitáveis para os compradores: deixar seu computador vulnerável ou aplicar um patch que “destrói o desempenho do processador”. É por isso que os demandantes estão buscando “justa indenização” da Intel.