Новини України та Світу

AMD і Apple зіткнулися з новою небезпечною вразливістю в системі безпеки

Share
Час читання: 2 хв.

Дослідники з компанії Trail of Bits, що спеціалізується на кібербезпеці, щойно виявили вразливість, яка зачіпає деякі з найбільших брендів у сфері технологій, а саме Apple, AMD і Qualcomm. Уразливість, що отримала назву LeftoverLocals, зачіпає відеокарти, вироблені цими компаніями. Це робить її досить поширеною, причому вона зачіпає найрізноманітніші пристрої – від ПК і серверів до планшетів і смартфонів. Цей недолік, якщо його використовувати, може дозволити зловмисникам отримати доступ і вкрасти дані з уразливих пристроїв.

Зазвичай під час роботи в загальному середовищі – наприклад, на робочій станції або в хмарній обчислювальній інфраструктурі – кожен користувач має доступ тільки до своїх власних даних і ресурсів, навіть якщо працює на одному й тому ж обладнанні. Однак LeftoverLocals обходить ці заходи безпеки і використовує пам’ять GPU, щоб дозволити потенційним зловмисникам красти дані інших користувачів на тому ж обладнанні.

Trail of Bits використовувала Llama.cpp, велику мовну модель (LLM), щоб показати, як вразливість дає змогу зловмисникові точно і швидко отримувати дані із системи, викрадаючи їх із графічної пам’яті. У цьому прикладі зловмисник зміг отримати вміст запиту LLM з високою точністю.

Складно сказати, наскільки широко поширена ця вразливість, але Trail of Bits протестувала 11 графічних процесорів на різних пристроях. Серед зачеплених GPU – нещодавно знижений у ціні RX 7900 XT від AMD, а також графіка в MacBook Air (M2) від Apple і iPad Air третього покоління на базі чіпа A12.

Як уже говорилося, ця вразливість зачіпає тільки загальні пристрої, тож якщо у вас домашній ПК, підключений до особистої мережі, то вам, найімовірніше, нема про що турбуватися, але хмарних обчислень теж можуть торкнутися, і саме в цьому криється головна небезпека для багатьох користувачів.

“Атакуюча програма повинна бути спільно розташована на тій самій машині і “прослуховувати” її в той час, коли жертва запускає на GPU важливий додаток. Це може статися в багатьох сценаріях: наприклад, якщо атакуюча програма перебуває разом із жертвою на спільному хмарному комп’ютері з GPU”, – пишуть дослідники у своєму блозі.

Дослідники сповістили постраждалі компанії, деякі з яких уже відреагували. Схоже, що графічні процесори Nvidia, Arm і Imagination наразі не зачеплені. Apple, схоже, виправила вразливість у деяких своїх пристроях, але, як зазначають дослідники, вона все ще присутня в MacBook Air.

Компанія AMD випустила оновлення, що стосується уразливості, про яке вперше повідомив Tom’s Hardware. У ньому наводиться повний список продуктів, схильних до впливу. Це довгий список, що включає процесори, починаючи з Ryzen 3000 і закінчуючи новітніми процесорами AMD, такими як серія Ryzen 7000 для настільних комп’ютерів і Ryzen 7045 для ноутбуків. Графічні процесори містять серії RX 5000, RX 6000, RX 7000 і безліч карт для робочих станцій, а також графіку для центрів обробки даних. AMD планує впровадити опції пом’якшення наслідків із березня 2024 року, але вони не будуть обов’язковими і їх потрібно буде вмикати вручну.

LeftoverLocals звучить досить лякаюче, але, на щастя, вплив на домашніх користувачів не має бути масштабним. Проте, якщо ви належите до числа тих, кого може торкнутися ця проблема, варто ввімкнути виправлення, щойно AMD поширить його в березні. Що стосується інших виробників, то, схоже, нам залишається тільки чекати патча.

Митник Михайло

Більшу частину свого дитинства Михайло провів, бавлячись із гаджетами та намагаючись з'ясувати, як вони працюють. Його захоплення технологіями призвело до того, що іграшкові роботи, радіокеровані машинки та навіть ігрові приставки часто розбирали на частини, які не підлягали ремонту. Якщо ви поставите йому провокаційне запитання на кшталт "Android чи iPhone?", ви отримаєте ретельний аналіз всіх "за" і "проти", а також есе на тисячу слів про те, як технології впливають на людство.

Опублікував
Митник Михайло
Tags: AMDApple
  • Останні записи

    Дизайн Samsung Galaxy A26 показали на якісних рендерах

    Надійний інсайдер під ніком OnLeaks опублікував серію деталізованих зображень ще не анонсованого смартфона. Крім того,…

    15.11.2024

    iOS 18.1 змушує iPhone перезавантажуватися після трьох днів бездіяльності

    Коли вийшла iOS 18, Apple додала дуже цікаву фішку. Тепер iPhone автоматично перезавантажується кожні три…

    15.11.2024

    Як зрозуміти, що додаток збирає ваші дані без дозволу

    Щороку ми завантажуємо мільярди додатків на смартфони — щоб швидко спілкуватися, займатися банкінгом, редагувати фото…

    14.11.2024

    Google робить свій смартфон потужнішим за допомогою Linux

    В Android 15 QPR2 Beta 1 Google представила нову функцію - Terminal, що дозволяє запускати…

    14.11.2024

    Apple набирає обертів у галузі ШІ, поки конкуренти зволікають у розвитку

    Apple Intelligence з'явився тільки минулого місяця, і деякі з його найцікавіших функцій будуть доступні з…

    14.11.2024

    В Україні зросла кількість злочинів за участю популярних додатків

    За останні кілька років все частіше виявляється, що месенджери використовуються як інструменти для злочинів. З…

    14.11.2024