GPU popularnych producentów podatne na atak GPU-zip kradnący piksele

Twórcy stron internetowych mają nowy powód, aby zbudować zabezpieczenia przed osadzaniem z różnych źródeł, ponieważ właśnie ujawniony exploit kompresji GPU może potencjalnie wykorzystywać ramki iframe między witrynami do kradzieży poufnych informacji. Użytkownicy powinni dokładnie rozważyć, jakie witryny odwiedzają po zalogowaniu się do podstawowych usług.

GPU wszystkich dużych producentów z luką w zabezpieczeniach

Badacze odkryli, że GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych. Producenci kart graficznych i producenci oprogramowania są świadomi problemu od miesięcy, ale jak na razie nie zareagowali na tę sytuację i być może zrobią to teraz, kiedy o sprawie zrobiło się głośno. 

Link do badań

GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych.

Exploit wpływa na przeglądarki internetowe Chrome i Edge, ale nie na Firefox i Safari. Jeśli chodzi o hardware, podatne są zarówno zintegrowane, jak i samodzielne karty graficzne od AMD, Intela, NVIDII, Apple, Arm i Qualcomm.

Badacze opracowali atak weryfikujący koncepcję, nazwany GPU.zip, podczas którego złośliwa strona internetowa zawiera osadzone ramki iframe prowadzące do innych witryn, do których mógł zalogować się użytkownik. Jeśli ta ostatnia strona umożliwia ładowanie ramek iframe pochodzących z różnych źródeł za pomocą plików cookie i renderuje filtry SVG w ramkach iframe przy użyciu GPU, złośliwa witryna może ukraść i zdekodować wyświetlane piksele. Jeśli użytkownik jest zalogowany na niezabezpieczonej stronie, na której wyświetlana jest jego nazwa użytkownika, hasło lub inne istotne informacje, stają się one widoczne dla atakujących.

Uwaga na Wikipedię

Na szczęście większość stron internetowych obsługujących wrażliwe dane zabrania osadzania z innych źródeł, w związku z czym luka nie ma zastosowania w ich przypadku. Wikipedia jest jednak największym wyjątkiem, dlatego redaktorzy powinni zachować szczególną ostrożność podczas przeglądania innych stron po zalogowaniu do tego serwisu. 

Problem wynika z kompresji GPU, która poprawia wydajność, ale może powodować wyciek danych. Twórcy zabezpieczeń zwykle nie mają z tym problemu, ponieważ kompresja jest tradycyjnie widoczna dla oprogramowania i wykorzystuje publicznie dostępne algorytmy. Jednak nowe badanie pokazuje, że można wykorzystać schematy kompresji niewidoczne dla oprogramowania, będące własnością każdego dostawcy. Ponieważ producenci układów graficznych ukrywają informacje na temat tej kompresji, grupom ds. bezpieczeństwa trudniej jest obejść ten problem.

Jak reagują firmy?

Google uważa, że ​​istniejące środki ostrożności stosowane przez twórców stron internetowych są wystarczające, aby zaradzić temu problemowi i nie przedstawiło planów rozwiązania problemu w swoim ekosystemie. Intel i Qualcomm potwierdziły, że nie podejmą żadnych działań, twierdząc, że problemem jest oprogramowanie innych firm. NVIDIA, AMD, Apple i Arm nie zareagowały jeszcze na te doniesienia. Nikt nie potwierdził aktywnego wykorzystania luki w środowisku naturalnym, zatem ma ona obecnie niski priorytet.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

Łańcuch Eksploatacji w Linux: Jak Dwa Błędy w PAM i udisks Prowadzą do Pełnego Przejęcia Systemu (CVE-2025-6018 & CVE-2025-6019)

W cyfrowym świecie bezpieczeństwa, eskalacja uprawnień (privilege escalation) jest jednym z najpoważniejszych zagrożeń. Umożliwia atakującemu, który posiada jedynie podstawowe konto użytkownika, zdobycie pełnej kontroli administracyjnej (root) nad systemem. Niedawne odkrycie przez Qualys Threat Research Unit stanowi podręcznikowy przykład tego, jak dwie pozornie odizolowane podatności mogą zostać połączone w niszczycielski łańcuch ataku.

Bezpieczeństwo

Oprogramowanie Open Source w służbie wojskowej: Jak drony z ArduPilot zmieniają oblicze wojny na Ukrainie

W dzisiejszych czasach, gdy technologia odgrywa kluczową rolę na każdym polu, od medycyny po rozrywkę, nie jest zaskoczeniem, że jej wpływ jest coraz bardziej widoczny również w dziedzinie wojskowości. Jednak to, co może być zaskakujące, to fakt, że oprogramowanie open-source, tworzone przez społeczność entuzjastów i programistów z całego świata, staje się potężnym narzędziem w rękach armii. Niedawny, zmasowany atak dronów przeprowadzony przez Ukrainę na rosyjskie bazy lotnicze, jest tego najlepszym przykładem i dowodem na to, jak technologie o otwartym kodzie źródłowym rewolucjonizują współczesne pole walki.

Oprogramowanie

Unia Europejska przejdzie na Linuxa? Powstaje dystrybucja EU OS

Unia Europejska może wkrótce podjąć kroki w kierunku uniezależnienia się od amerykańskiego oprogramowania. Społeczność entuzjastów pod patronatem władz UE pracuje nad projektem EU OS, który ma zastąpić system operacyjny Windows w instytucjach rządowych. Wybór padł na modyfikację dystrybucji Fedora Linux, która zostanie dostosowana do potrzeb urzędników poprzez interfejs przypominający Windows.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *