Похоже, что уязвимости Spectre и Meltdown оборачиваются чипмейкерам не только аппаратными, но и юридическими проблемами. Против компании Advanced Micro Devices подан коллективный иск в северном округе штата Калифорния, США. Истцом выступает компания Pomerantz LLP от имени акционера Доюн Кима. Как сообщается, причиной иска стала первоначальная реакция AMD на обнародование информации об уязвимостях Meltdown и Spectre.

По словам Кима, она вводила общественность в заблуждение, поскольку компания заявляла о почти нулевой вероятности атак в отношении систем с её процессорами. После же в AMD фактически признали наличие обоих уязвимостей в «красных» чипах.

Так, компания в начале месяца действительно заявила, что её CPU не подвержены атакам Meltdown CVE-2017-5754 (rogue data cache load — загрузка в кэш мошеннических данных). Что касается Spectre, то речь шла об уязвимости только к первому варианту CVE-2017-5753 (bounds check bypass — обход проверки границ). О втором варианте — CVE-2017-5715 (branch target injection — целевое внедрение в ветвь), говорилось, что он имеет почти нулевую вероятность.

Хотя мы считаем, что процессорные архитектуры AMD затрудняют использование Variant 2, мы продолжаем тесно сотрудничать с отраслью относительно этой угрозы

AMD

Однако уже 11 января было заявлено, что первый вариант Spectre можно закрыть с помощью заплаток для Linux и Windows (AMD работает над устранением проблем со старыми чипами вроде Opteron, Athlon и Turion X2 Ultra, из-за которых Microsoft приостановила развёртывание обновлений). В отношение второго варианта Spectre, компания перестала говорить о близкой к нулю вероятности атак, вместо этого пообещала пользователям и партнёрам выпустить обновления микрокода процессоров (новых прошивок BIOS) и дополнительных заплаток для ОС. Выпуск необязательных обновлений микрокода для Ryzen и EPYC уже начался, ожидаются аналогичные заплатки и для старых чипов.

Таким образом, компания действительно изменила показания по этому делу. Но куда интереснее, что в исковом заявлении против AMD в том числе говорится о потере прибыли.

В результате неправомерных действий и упущений обвиняемой стороны, а также резкого снижения рыночной стоимости обыкновенных акций компании, истец и другие участники коллективного иска понесли значительные потери и убытки

Выдержка из заявления

Важно отметить, что это фактически первое прямое обвинение компании, хотя ранее были поданы иски против Intel, Apple и ARM. Но пока что нет ни одного заявления о том, что какая-либо компания реально пострадала от уязвимостей Meltdown и Spectre, так что всё может обойтись и сравнительно малой кровью вроде падения цен на акции и подмоченной репутации.

В целом, пока что индустрия оценивает масштабы произошедшего, но фактов, указывающих на чёткое планомерное использование уязвимостей, нет. Так что компании могут получить иски за неверное информирование или же сокрытие части информации — не более.

Со своей стороны, AMD уже ответила на объявления юридических исков, заявив, что такие обвинения не заслуживают внимания, при этом компания намерена «решительно защищаться от этих необоснованных претензий».