Дослідники виявили уразливість в GPU, яка дає зловмисникам можливість отримати доступ до оброблених цими пристроями даних. Зазначена діра, яка отримала назву LeftoverLocals, впливає на GPU від Apple, Qualcomm, AMD та Imagination. Ця уразливість особливо занепокоює через можливий обсяг даних, які можна отримати, та все більш широке використання GPU в інтелектуальних системах. Хоча Apple випустила виправлення для деяких пристроїв, старіші моделі залишаються уразливими.
Дослідники з компанії Trail of Bits звернули увагу на нову уразливість в GPU, яка створює значні ризики пов’язані з конфіденційністю даних. Відома як LeftoverLocals, ця уразливість дозволяє зловмисникам отримувати дані, що були оброблені GPU пристроєм. Уразливість впливає на GPU від великих виробників, включаючи Apple, Qualcomm, AMD та Imagination.
Ця уразливість особливо тривожна через можливість доступу до значної кількості даних. GPU все частіше використовуються для обробки великих мовних моделей (LLM), які обробляють великі обсяги даних. Шляхом відновлення локальної пам’яті на GPU, зловмисники можуть вдаватися до підслуховування інтерактивних сеансів LLM інших користувачів, що працюють в різних процесах або контейнерах.
Хоча Apple виправила уразливість для деяких своїх пристроїв, старіші моделі все ще залишаються незахищеними. За словами дослідників, проблему було виправлено в пристроях, таких як Apple iPad Air 3 (A12), але вона продовжує існувати в Apple MacBook Air (M2). На щастя, недавно випущений Apple iPhone 15, здається, не постраждав від даної уразливості.
Щоб захистити себе від LeftoverLocals, користувачам слід прийняти певні заходи безпеки. Оскільки уразливість вимагає фізичного доступу до пристрою, користувачам слід утримуватися від надання третім сторонам доступу до своїх пристроїв. Крім того, важливо регулярно оновлювати пристрої за допомогою останніх патчів безпеки, наданих Apple.
Дослідники не надали інформації про майбутні плани виправлення уразливих пристроїв. Ураховуючи серйозність цієї уразливості та її потенційний вплив на конфіденційність даних, виробникам необхідно надати пріоритет вирішенню проблеми у всіх своїх продуктах. Користувачам необхідно залишатися бджолими та вживати необхідні заходи для захисту своїх пристроїв до того часу, поки не будуть створені комплексні патчі.
The source of the article is from the blog japan-pc.jp