GPU popularnych producentów podatne na atak GPU-zip kradnący piksele

Twórcy stron internetowych mają nowy powód, aby zbudować zabezpieczenia przed osadzaniem z różnych źródeł, ponieważ właśnie ujawniony exploit kompresji GPU może potencjalnie wykorzystywać ramki iframe między witrynami do kradzieży poufnych informacji. Użytkownicy powinni dokładnie rozważyć, jakie witryny odwiedzają po zalogowaniu się do podstawowych usług.

GPU wszystkich dużych producentów z luką w zabezpieczeniach

Badacze odkryli, że GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych. Producenci kart graficznych i producenci oprogramowania są świadomi problemu od miesięcy, ale jak na razie nie zareagowali na tę sytuację i być może zrobią to teraz, kiedy o sprawie zrobiło się głośno. 

Link do badań

GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych.

Exploit wpływa na przeglądarki internetowe Chrome i Edge, ale nie na Firefox i Safari. Jeśli chodzi o hardware, podatne są zarówno zintegrowane, jak i samodzielne karty graficzne od AMD, Intela, NVIDII, Apple, Arm i Qualcomm.

Badacze opracowali atak weryfikujący koncepcję, nazwany GPU.zip, podczas którego złośliwa strona internetowa zawiera osadzone ramki iframe prowadzące do innych witryn, do których mógł zalogować się użytkownik. Jeśli ta ostatnia strona umożliwia ładowanie ramek iframe pochodzących z różnych źródeł za pomocą plików cookie i renderuje filtry SVG w ramkach iframe przy użyciu GPU, złośliwa witryna może ukraść i zdekodować wyświetlane piksele. Jeśli użytkownik jest zalogowany na niezabezpieczonej stronie, na której wyświetlana jest jego nazwa użytkownika, hasło lub inne istotne informacje, stają się one widoczne dla atakujących.

Uwaga na Wikipedię

Na szczęście większość stron internetowych obsługujących wrażliwe dane zabrania osadzania z innych źródeł, w związku z czym luka nie ma zastosowania w ich przypadku. Wikipedia jest jednak największym wyjątkiem, dlatego redaktorzy powinni zachować szczególną ostrożność podczas przeglądania innych stron po zalogowaniu do tego serwisu. 

Problem wynika z kompresji GPU, która poprawia wydajność, ale może powodować wyciek danych. Twórcy zabezpieczeń zwykle nie mają z tym problemu, ponieważ kompresja jest tradycyjnie widoczna dla oprogramowania i wykorzystuje publicznie dostępne algorytmy. Jednak nowe badanie pokazuje, że można wykorzystać schematy kompresji niewidoczne dla oprogramowania, będące własnością każdego dostawcy. Ponieważ producenci układów graficznych ukrywają informacje na temat tej kompresji, grupom ds. bezpieczeństwa trudniej jest obejść ten problem.

Jak reagują firmy?

Google uważa, że ​​istniejące środki ostrożności stosowane przez twórców stron internetowych są wystarczające, aby zaradzić temu problemowi i nie przedstawiło planów rozwiązania problemu w swoim ekosystemie. Intel i Qualcomm potwierdziły, że nie podejmą żadnych działań, twierdząc, że problemem jest oprogramowanie innych firm. NVIDIA, AMD, Apple i Arm nie zareagowały jeszcze na te doniesienia. Nikt nie potwierdził aktywnego wykorzystania luki w środowisku naturalnym, zatem ma ona obecnie niski priorytet.

Podziel się postem :)

Najnowsze:

Oprogramowanie

Nowości w Bardzie – Gemini Pro i generowanie obrazów

Z początkiem lutego Google zapowiedziało kolejne nowości w Bard AI. Narzędzie zyskało dostęp do Gemini Pro w języku polskim (i wielu innych), więc teraz zaawansowany model sztucznej inteligencji może się wykazać także „po naszemu”. A to nie wszystko, bo kolejnym ulepszeniem jest silnik Imagen 2, odpowiedzialny za generatywne tworzenie grafiki.

Sprzęt

Standard Wi-Fi 7 oficjalnie zatwierdzony

Wi-Fi 7 to najnowszy standard łączności bezprzewodowej, który został oficjalnie zatwierdzony i jest gotowy do wdrożenia. Oficjalna specyfikacja tego standardu została ogłoszona na targach CES 2024, co oznacza, że producenci urządzeń mogą teraz rozpocząć proces certyfikacji swoich produktów.

Linux

Linux Kernel 6.7: Nowa Era Innowacji

Linux Kernel 6.7 został oficjalnie wydany, wprowadzając szereg nowych funkcji i ulepszeń. Ten najnowszy stabilny kernel Linuxa z pewnością zasługuje na uwagę.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *