GPU popularnych producentów podatne na atak GPU-zip kradnący piksele

Twórcy stron internetowych mają nowy powód, aby zbudować zabezpieczenia przed osadzaniem z różnych źródeł, ponieważ właśnie ujawniony exploit kompresji GPU może potencjalnie wykorzystywać ramki iframe między witrynami do kradzieży poufnych informacji. Użytkownicy powinni dokładnie rozważyć, jakie witryny odwiedzają po zalogowaniu się do podstawowych usług.

GPU wszystkich dużych producentów z luką w zabezpieczeniach

Badacze odkryli, że GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych. Producenci kart graficznych i producenci oprogramowania są świadomi problemu od miesięcy, ale jak na razie nie zareagowali na tę sytuację i być może zrobią to teraz, kiedy o sprawie zrobiło się głośno. 

Link do badań

GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych.

Exploit wpływa na przeglądarki internetowe Chrome i Edge, ale nie na Firefox i Safari. Jeśli chodzi o hardware, podatne są zarówno zintegrowane, jak i samodzielne karty graficzne od AMD, Intela, NVIDII, Apple, Arm i Qualcomm.

Badacze opracowali atak weryfikujący koncepcję, nazwany GPU.zip, podczas którego złośliwa strona internetowa zawiera osadzone ramki iframe prowadzące do innych witryn, do których mógł zalogować się użytkownik. Jeśli ta ostatnia strona umożliwia ładowanie ramek iframe pochodzących z różnych źródeł za pomocą plików cookie i renderuje filtry SVG w ramkach iframe przy użyciu GPU, złośliwa witryna może ukraść i zdekodować wyświetlane piksele. Jeśli użytkownik jest zalogowany na niezabezpieczonej stronie, na której wyświetlana jest jego nazwa użytkownika, hasło lub inne istotne informacje, stają się one widoczne dla atakujących.

Uwaga na Wikipedię

Na szczęście większość stron internetowych obsługujących wrażliwe dane zabrania osadzania z innych źródeł, w związku z czym luka nie ma zastosowania w ich przypadku. Wikipedia jest jednak największym wyjątkiem, dlatego redaktorzy powinni zachować szczególną ostrożność podczas przeglądania innych stron po zalogowaniu do tego serwisu. 

Problem wynika z kompresji GPU, która poprawia wydajność, ale może powodować wyciek danych. Twórcy zabezpieczeń zwykle nie mają z tym problemu, ponieważ kompresja jest tradycyjnie widoczna dla oprogramowania i wykorzystuje publicznie dostępne algorytmy. Jednak nowe badanie pokazuje, że można wykorzystać schematy kompresji niewidoczne dla oprogramowania, będące własnością każdego dostawcy. Ponieważ producenci układów graficznych ukrywają informacje na temat tej kompresji, grupom ds. bezpieczeństwa trudniej jest obejść ten problem.

Jak reagują firmy?

Google uważa, że ​​istniejące środki ostrożności stosowane przez twórców stron internetowych są wystarczające, aby zaradzić temu problemowi i nie przedstawiło planów rozwiązania problemu w swoim ekosystemie. Intel i Qualcomm potwierdziły, że nie podejmą żadnych działań, twierdząc, że problemem jest oprogramowanie innych firm. NVIDIA, AMD, Apple i Arm nie zareagowały jeszcze na te doniesienia. Nikt nie potwierdził aktywnego wykorzystania luki w środowisku naturalnym, zatem ma ona obecnie niski priorytet.

Podziel się postem :)

Najnowsze:

Nauka

GPT-5 będzie „na poziomie osoby z doktoratem”? OpenAI zachwala nowy model

Model GPT-5 może w pewnych konkretnych zadaniach wykazywać się „inteligencją” na poziomie doktora nauk. Tak przynajmniej wynika z deklaracji ze strony OpenAI. Firma traktuje swoje kolejne modele sztucznej inteligencji jako przykład rozwoju podobny do tego, który ma miejsce w przypadku nauki w szkole i na uczelni.

Bezpieczeństwo

Komunikat CSIRT KNF. Atak na użytkowników telefonów iPhone

CSIRT KNF ostrzega użytkowników iPhone’ów z aktywną obsługą wiadomości iMessage przed trwającą kampanią phishingową. Oszuści wykorzystują nośny wątek “nieodebranej paczki”, by zachęcić do kliknięcia linku. W ten sposób można trafić na fałszywą stronę InPostu, gdzie wyłudzane są dane.

Sprzęt

Komputery Copilot+ już oficjalnie dostępne w sprzedaży

Zgodnie z planami, dzisiaj laptopy Copilot+ wkraczają na rynek. Rozpoczyna się w ten sposób nowy rozdział w technologii, gdyż nie tylko mamy nową kategorię produktów, ale także nowego gracza na rynku pecetów – Qualcomm. A producent podobno działa nad kolejnymi Snapdragonami, których cena ma być tak przystępna, że urządzenia Copilot+ trafią pod strzechy.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *