GPU popularnych producentów podatne na atak GPU-zip kradnący piksele

Twórcy stron internetowych mają nowy powód, aby zbudować zabezpieczenia przed osadzaniem z różnych źródeł, ponieważ właśnie ujawniony exploit kompresji GPU może potencjalnie wykorzystywać ramki iframe między witrynami do kradzieży poufnych informacji. Użytkownicy powinni dokładnie rozważyć, jakie witryny odwiedzają po zalogowaniu się do podstawowych usług.

GPU wszystkich dużych producentów z luką w zabezpieczeniach

Badacze odkryli, że GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych. Producenci kart graficznych i producenci oprogramowania są świadomi problemu od miesięcy, ale jak na razie nie zareagowali na tę sytuację i być może zrobią to teraz, kiedy o sprawie zrobiło się głośno. 

Link do badań

GPU wszystkich głównych producentów mają tę samą lukę, która może pozwolić atakującym ukraść nazwy użytkownika i hasła wyświetlane na stronach internetowych.

Exploit wpływa na przeglądarki internetowe Chrome i Edge, ale nie na Firefox i Safari. Jeśli chodzi o hardware, podatne są zarówno zintegrowane, jak i samodzielne karty graficzne od AMD, Intela, NVIDII, Apple, Arm i Qualcomm.

Badacze opracowali atak weryfikujący koncepcję, nazwany GPU.zip, podczas którego złośliwa strona internetowa zawiera osadzone ramki iframe prowadzące do innych witryn, do których mógł zalogować się użytkownik. Jeśli ta ostatnia strona umożliwia ładowanie ramek iframe pochodzących z różnych źródeł za pomocą plików cookie i renderuje filtry SVG w ramkach iframe przy użyciu GPU, złośliwa witryna może ukraść i zdekodować wyświetlane piksele. Jeśli użytkownik jest zalogowany na niezabezpieczonej stronie, na której wyświetlana jest jego nazwa użytkownika, hasło lub inne istotne informacje, stają się one widoczne dla atakujących.

Uwaga na Wikipedię

Na szczęście większość stron internetowych obsługujących wrażliwe dane zabrania osadzania z innych źródeł, w związku z czym luka nie ma zastosowania w ich przypadku. Wikipedia jest jednak największym wyjątkiem, dlatego redaktorzy powinni zachować szczególną ostrożność podczas przeglądania innych stron po zalogowaniu do tego serwisu. 

Problem wynika z kompresji GPU, która poprawia wydajność, ale może powodować wyciek danych. Twórcy zabezpieczeń zwykle nie mają z tym problemu, ponieważ kompresja jest tradycyjnie widoczna dla oprogramowania i wykorzystuje publicznie dostępne algorytmy. Jednak nowe badanie pokazuje, że można wykorzystać schematy kompresji niewidoczne dla oprogramowania, będące własnością każdego dostawcy. Ponieważ producenci układów graficznych ukrywają informacje na temat tej kompresji, grupom ds. bezpieczeństwa trudniej jest obejść ten problem.

Jak reagują firmy?

Google uważa, że ​​istniejące środki ostrożności stosowane przez twórców stron internetowych są wystarczające, aby zaradzić temu problemowi i nie przedstawiło planów rozwiązania problemu w swoim ekosystemie. Intel i Qualcomm potwierdziły, że nie podejmą żadnych działań, twierdząc, że problemem jest oprogramowanie innych firm. NVIDIA, AMD, Apple i Arm nie zareagowały jeszcze na te doniesienia. Nikt nie potwierdził aktywnego wykorzystania luki w środowisku naturalnym, zatem ma ona obecnie niski priorytet.

Podziel się postem:

Najnowsze:

Bezpieczeństwo

Luka w zabezpieczeniach BitLockera w Windows 11: Czy Twoje dane są bezpieczne?

Szyfrowanie dysków to jedna z podstawowych metod ochrony danych w erze cyfrowej. Użytkownicy systemów Windows często korzystają z wbudowanego narzędzia BitLocker, aby zabezpieczyć swoje poufne informacje przed niepowołanym dostępem. Jednak ostatnie doniesienia z Chaos Communication Congress (CCC) w Niemczech wskazują na poważną lukę w zabezpieczeniach BitLockera w systemie Windows 11, która może narazić dane użytkowników na ryzyko.

Bezpieczeństwo

Złamanie Enigmy: Przełomowy moment w historii kryptologii

Złamanie szyfru Enigmy przez polskich kryptologów na przełomie grudnia 1932 i stycznia 1933 roku to jedno z najważniejszych wydarzeń w historii kryptologii i II wojny światowej. Ten artykuł skupia się na wydarzeniach z tego okresu, które doprowadziły do przełomowego momentu w dekryptażu niemieckiej maszyny szyfrującej. Niemcy, przekonani o niemożliwości złamania Enigmy, używali jej do zabezpieczania tajnej korespondencji wojskowej i dyplomatycznej. Sukces polskich matematyków, Mariana Rejewskiego, Jerzego Różyckiego i Henryka Zygalskiego, dał aliantom ogromną przewagę, umożliwiając odczytywanie niemieckich komunikatów i przewidywanie ich ruchów.

Linux

Linux – Niewidzialny bohater technologii. Gdzie go znajdziesz?

Linux. System operacyjny, o którym słyszał chyba każdy, ale niewielu zdaje sobie sprawę z jego wszechobecności w naszym życiu. Często kojarzony jedynie z informatykami i serwerowniami, w rzeczywistości napędza wiele urządzeń, z których korzystamy na co dzień, a jego historia jest ściśle związana z Uniksem 1. W tym artykule, bazując na dogłębnych badaniach 2, przyjrzymy się bliżej temu fascynującemu systemowi i jego różnorodnym zastosowaniom, a także odkryjemy ciekawostki, które uczynią naszą podróż przez świat Linuksa jeszcze bardziej interesującą.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *