На AMD подан иск за "неправильное" информирование о Spectre
Уязвимости Spectre оборачиваются для AMD новыми проблемами.
На разработчика чипов был подан коллективный иск, в котором компания была обвинена в искусственном сдерживании падения курса своих акций с помощью умолчания о том, как сильно варианты атак под общим названием Spectre влияют на её чипы, сообщает comments.ua со ссылкой на "3Dnews".
Иск был подан в суд США в северном округе Калифорнии компанией Pomerantz LLP от имени акционера Доюн Кима. Последний утверждает, что первоначальная реакция AMD на обнародование информации об уязвимостях Meltdown и Spectre вводила общественность в заблуждение: компания заявляла о почти нулевой вероятности атак в отношении систем с её чипами, а затем по сути признала, что процессоры затронуты обоими вариантами уязвимости.
Компания вначале заявляла о том, что для её процессоров риски почти нулевые. Затем почти сразу 3 января дала более развёрнутый комментарий, в котором указала, что её CPU не подвержены атакам Meltdown CVE-2017-5754 (rogue data cache load - загрузка в кеш мошеннических данных), а в отношении Spectre уязвимы первому варианту CVE-2017-5753 (bounds check bypass - обход проверки границ) и почти с нулевой вероятностью - второму варианту CVE-2017-5715 (branch target injection - целевое внедрение в ветвь).
11 января компания опубликовала расширенный комментарий. В нём она подтвердила отсутствие опасности применения Meltdown благодаря архитектурным особенностям. Компания добавила, что первый вариант Spectre закрывается с помощью заплаток для Linux и Windows (AMD работает над устранением проблем со старыми чипами вроде Opteron, Athlon и Turion X2 Ultra, из-за которых Microsoft приостановила развёртывание обновлений). Относительно второго варианта Spectre компания перестала писать о близкой к нулю вероятности атак, а пообещала пользователям и партнёрам выпустить обновления микрокода процессоров (новых прошивок BIOS) и дополнительных заплаток для ОС. Выпуск необязательных обновлений микрокода для Ryzen и EPYC уже начался, ожидаются аналогичные заплатки и для старых чипов.
В исковом заявлении против AMD среди прочего говорится: «В результате неправомерных действий и упущений обвиняемой стороны, а также резкого снижения рыночной стоимости обыкновенных акций компании, истец и другие участники коллективного иска понесли значительные потери и убытки».
Это сильное обвинение с учётом того, что уязвимости лишь относительно недавно были осознаны индустрией, а масштабы последствий всё ещё оцениваются. Пока ни одна крупная компания не подтвердила их практическое использование, то есть нет примеров действий реальных, а не теоретических злоумышленников. AMD - не единственная обвиняемая сторона. Аналогичные коллективные иски по поводу Meltdown и Spectre подаются против Intel, Apple, ARM.
Команда Google Project Zero, которая вскрыла эти проблемы, проинформировала производителей CPU и разработчиков ОС относительно Meltdown и Spectre ещё в июне 2017 года, так что у публики есть некоторые основания говорить о том, что AMD следовало быть более открытой относительно информирования клиентов и инвесторов о проблеме.
Вряд ли все эти судебные разбирательства хорошо отразятся на производителях CPU, даже если коллективные иски против них не будут выиграны, ведь подобная шумиха обычно не лучшим образом сказывается на курсе акций и репутации.