Уязвимости Spectre оборачиваются для AMD не только аппаратными проблемами. На разработчика чипов был подан
коллективный иск, в котором компания была обвинена в искусственном сдерживании падения курса своих акций с помощью умолчания о том, как сильно варианты атак под общим названием Spectre влияют на её чипы.
Иск был подан в суд США в северном округе Калифорнии компанией Pomerantz LLP от имени акционера Доюн Кима (Doyun Kim). Последний утверждает, что первоначальная реакция AMD на обнародование информации об уязвимостях Meltdown и Spectre вводила общественность в заблуждение: компания заявляла о почти нулевой вероятности атак в отношении систем с её чипами, а затем по сути признала, что процессоры затронуты обоими вариантами уязвимости.
Компания в самом деле вначале
заявляла о том, что для её процессоров риски почти нулевые. Затем почти сразу 3 января дала более
развёрнутый комментарий, в котором указала, что её CPU не подвержены атакам Meltdown CVE-2017-5754 (rogue data cache load — загрузка в кеш мошеннических данных), а в отношении Spectre уязвимы первому варианту CVE-2017-5753 (bounds check bypass — обход проверки границ) и почти с нулевой вероятностью — второму варианту CVE-2017-5715 (branch target injection — целевое внедрение в ветвь).
Наконец лишь 11 января компания опубликовала
расширенный комментарий. В нём она подтвердила отсутствие опасности применения Meltdown благодаря архитектурным особенностям. Также компания добавила, что первый вариант Spectre закрывается с помощью заплаток для Linux и Windows (AMD работает над устранением проблем со старыми чипами вроде Opteron, Athlon и Turion X2 Ultra, из-за которых Microsoft
приостановила развёртывание обновлений). Наконец, относительно второго варианта Spectre компания перестала писать о близкой к нулю вероятности атак, а пообещала пользователям и партнёрам выпустить обновления микрокода процессоров (новых прошивок BIOS) и дополнительных заплаток для ОС. Выпуск необязательных обновлений микрокода для Ryzen и EPYC уже начался, ожидаются аналогичные заплатки и для старых чипов.
Так или иначе, но в исковом заявлении против AMD среди прочего говорится:
«В результате неправомерных действий и упущений обвиняемой стороны, а также резкого снижения рыночной стоимости обыкновенных акций компании, истец и другие участники коллективного иска понесли значительные потери и убытки».
Это сильное обвинение с учётом того, что уязвимости лишь относительно недавно были осознаны индустрией, а масштабы последствий всё ещё оцениваются. Вдобавок пока ни одна крупная компания не подтвердила их практическое использование, то есть нет примеров действий реальных, а не теоретических злоумышленников. Так или иначе, но AMD — не единственная обвиняемая сторона. Аналогичные коллективные иски по поводу Meltdown и Spectre
подаются против Intel, Apple, ARM.
Насколько честно обвинять Intel и AMD в архитектурных особенностях их чипов, которые уже более 20 лет являются частью почти всех процессоров и только сейчас были поняты как просчёты? Впрочем, команда Google Project Zero, которая вскрыла эти проблемы, проинформировала производителей CPU и разработчиков ОС относительно Meltdown и Spectre ещё в июне 2017 года, так что у публики есть некоторые основания говорить о том, что AMD следовало быть более открытой относительно информирования клиентов и инвесторов о проблеме.
Вряд ли все эти судебные разбирательства хорошо отразятся на производителях CPU, даже если коллективные иски против них не будут выиграны, ведь подобная шумиха обычно не лучшим образом сказывается на курсе акций и репутации.