Эксперты по кибербезопасности компании Trail of Bits обнаружили уязвимость LeftoverLocals, которая затрагивает графические процессоры AMD, Apple и Qualcomm, позволяя злоумышленникам перехватывать данные из памяти при взаимодействии жертвы и запущенной локально модели искусственного интеллекта.

Источник изображения: Gerd Altmann / pixabay.com

Разработчики центральных процессоров потратили годы на совершенствование средств их защиты и предотвращение утечек данных из памяти, даже когда в приоритете оказывается высокая производительность. Графические процессоры первоначально проектировались для собственно графических приложений без учёта конфиденциальности данных. Но сегодня они используются в качестве ускорителей работы алгоритмов ИИ, и уязвимости графических процессоров становятся всё более актуальной проблемой.

Для эксплуатации уязвимости LeftoverLocals злоумышленнику необходимо получить некоторый доступ к операционной системе на целевом устройстве. Современные рабочие станции и серверы проектируются для совместной работы и совместного хранения данных нескольких пользователей — они предусматривают средства их изоляции друг от друга, но атака LeftoverLocals разрушает эти барьеры. В результате хакер получает возможность извлекать данные, к которым у него не должно быть доступа, из локальной памяти, выделенной для графического процессора.

Авторы исследования продемонстрировали, как работает эта атака — они локально запустили большую языковую модель LLaMA с 7 млрд параметров, использовав видеокарту AMD Radeon RX 7900 XT, задали ИИ вопрос и «подслушали» ответ. Полученные ими данные почти полностью совпали с действительным ответом системы. Для осуществления атаки потребовались менее десяти строк кода.

Источник изображения: wired.com

Минувшим летом они протестировали 11 чипов от 7 производителей графических процессоров в нескольких программных средах. Уязвимость LeftoverLocals обнаружилась в графике AMD, Apple и Qualcomm; впоследствии Google подтвердила её наличие в некоторых моделях от Imagination; наличие уязвимости для графики NVIDIA, Intel и Arm подтвердить не удалось. Представитель Apple признал проблему и сообщил, что уязвимость была закрыта для чипов M3 и A17 — вероятно, имеется в виду, что более ранние модели так и останутся уязвимыми. В Qualcomm сообщили Wired, что компания находится «в процессе» передачи обновлений безопасности своим клиентам; по сведениям Trail of Bits, компания выпустила все необходимые обновления прошивок. AMD сообщила на своём сайте, что в марте выйдет обновление ПО, которое поможет «выборочно смягчить последствия» LeftoverLocals. Google доложила, что выпустила обновление ChromeOS для устройств на чипах AMD и Qualcomm.

Тем не менее, в Trail of Bits предупреждают, что конечным пользователям может быть непросто получить все эти обновлённые варианты ПО. Производители чипов выпускают новые версии прошивок, а выпускающие ПК и комплектующие компании внедряют их в свежие версии собственного ПО, которое впоследствии передаётся конечным владельцам оборудования. Учитывая большое число игроков на мировом технологическом рынке, координировать действия всех сторон непросто. Для эксплуатации LeftoverLocals требуется определённый уровень доступа к целевым устройствам, но современные взломы осуществляются через целые цепочки уязвимостей, и данная может быть лишь одним из звеньев.

С другой стороны, исследователи установили, что организация атаки через LeftoverLocals представляется маловероятной в сценариях облачных провайдеров, мобильных приложений и взломов через веб-ресурсы. Но производителям графических процессоров придётся привыкать к мысли, что и им придётся учитывать фактор конфиденциальности данных, поскольку видеокарты сейчас используются не только для обработки графики.

Arm сообщила об уязвимостях, обнаруженных в драйверах графических процессоров серии Mali — они эксплуатируются злоумышленниками и затрагивают широкий ассортимент устройств, включая смартфоны Google Pixel и другие под управлением Android, а также хромбуки и другие Linux-устройства.

Источник изображения: Pete Linforth / pixabay.com

«Локальный непривилегированный пользователь может выполнить запрещённую операцию, связанную с обработкой памяти графическим процессором, чтобы получить доступ к уже освобождённой памяти. Проблема исправлена для Bifrost, Valhall и в драйвере ядра для архитектуры графического процессора Arm 5 поколения. Есть свидетельства, что уязвимость может ограниченно целенаправленно эксплуатироваться», — говорится в заявлении Arm. Уязвимость позволяет злоумышленнику получить доступ к освобождённой памяти — это распространённый механизм загрузки вредоносного кода для эксплуатации других уязвимостей или установки шпионского ПО. Стоит отметить, что в заявлении Arm говорится о драйверах, а не о прошивке графических процессоров.

Уязвимости присвоен номер CVE-2023-4211 — она затрагивает драйверы для графических подсистем семейств Midgard, Bifrost, Valhall и чипов пятого поколения. Предполагается, что уязвимости подвержены смартфоны Google Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro, Oppo Find. X5 Pro и Reno 8 Pro, а также ряд телефонов на платформах MediaTek. В сентябрьском обновлении Google закрыла уязвимость для устройств линейки Pixel, а также для хромбуков — она устранена с патчами, датированными 1 сентября 2023 года и более поздними. Arm выпустила обновления драйверов под Linux. Разработчик, кроме того, упомянул уязвимости CVE-2023-33200 и CVE-2023-34970, которые тоже открывают доступ к уже освобождённой памяти.

Для эксплуатации всех трёх уязвимостей хакеру необходим локальный доступ к устройству, либо, заставить жертву самостоятельно установить вредоносное приложение из неофициального репозитория. Пока неизвестно, на каких платформах и для каких устройств выпущены патчи, поэтому рекомендуется обращаться к производителю устройства.

Американские исследователи обнаружили в графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA уязвимость, из-за которой сайты с вредоносным кодом могут осуществлять кражу данных с других сайтов — это могут быть логины, пароли и любая другая отображаемая конфиденциальная информация.

Источник изображения: nvidia.com

Основанный на обнаруженной уязвимости тип атаки получил название GPU.zip — он позволяет использовать ресурсы графических процессоров для кражи данных с сайтов, страницы которых вставляются через элементы iframe на другие ресурсы, вредоносные. Исследователи обнаружили, что сжатие данных, которое обрабатывается интегрированными и дискретными видеокартами для повышения производительности, может оказаться побочным каналом кражи информации — она осуществляется попиксельно.

Современные графические процессоры автоматически пытаются сжимать эти визуальные данные без участия ПО, которое этими данными оперирует — это делается для экономии ресурсов памяти и повышения производительности. Примечательно, что атака осуществляется в браузерах Chrome или Edge, но не работает в Firefox и Safari. В качестве условной жертвы исследователи взяли сайт «Википедия», код которого встроили через iframe на страницу собственного ресурса. Атака сработала на графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA. В случае с AMD Ryzen 7 4800U потребовалось около 30 минут для рендеринга целевых пикселей с точностью 97 %. В случае с Intel Core i7-8700 время увеличилось до 215 минут.

Разница между исходными и восстановленными данными. Источник изображения: hertzbleed.com

Все графические процессоры используют собственные методы сжатия данных при выводе содержимого — они не документируются, но учёным удалось задействовать обратную инженерию в каждом случае. Для этого они воспользовались форматом векторной графики SVG и зафиксировали различия между чёрными и белыми пикселями в трафике DRAM. В работе описан способ кражи данных через встроенную графику, но аналогичный способ реализуется и через дискретную.

Для осуществления атаки в браузере должны исполняться три условия:

1. разрешена загрузка iframe с файлами cookie;
2. разрешён рендеринг SVG-фильтров в iframe;
3. рендеринг осуществляется графическим процессором.

В ответ за запрос представитель Google заявил, что защитить свои ресурсы от атаки веб-мастер может при помощи HTTP-заголовков X-Frame-Options и Content Security Policy. Кроме того, реализовать атаку довольно сложно технически, и она требует продолжительного времени, что снижает величину угрозы для обычных пользователей. В Intel и Qualcomm заявили, что уязвимость, связанная с GPU.zip, относится не к графическим процессорам, а к стороннему ПО, поэтому никаких мер в компаниях предпринимать не собираются. Apple, NVIDIA, AMD и Arm комментариев не предоставили.

Возможно, атака GPU.zip действительно не представляет значительной угрозы для рядового пользователя, но, как отметили обнаружившие её исследователи, она может лечь в основу других, более опасных эксплойтов. Кроме того, она в очередной раз указывает, что аппаратная оптимизация способна создавать побочные каналы кражи данных, которые невозможно смягчить программными средствами.

Компания Intel сегодня раскрыла подробности о грядущих мобильных процессорах Meteor Lake. Новинки во многих отношениях станут инновационными, принеся массу совершенно новых для Intel решений в потребительский сегмент. Серьёзный апгрейд претерпит и встроенная графика, благодаря чему она станет намного мощнее текущих iGPU в процессорах Intel. Фактически, Intel интегрирует графику дискретных видеокарт Arc в свои центральные процессоры.

Ключевой особенностью Meteor Lake станет чиплетное исполнение: процессор будет состоять из четырёх кристаллов — CPU, GPU, SoC и I/O. Интегрированный графический процессор у новинок перейдёт на более мощную архитектуру Xe LPG, унаследованную от настольной Xe HPG, которая значительно превосходит текущую Iris Xe по производительности.

Графический процессор получил такой же набор исполнительных блоков, как у видеокарты Arc A380. Речь идёт о восьми графических ядрах Xe, что означает наличие 1024 шейдеров. Также новая «встройка» предложит 128 векторных движков (аналог исполнительных блоков, EU), два геометрических конвейера, восемь блоков для аппаратного ускорения трассировки лучей и прочие элементы.

Intel утверждает, что графические процессоры Xe LPG обеспечивают вдвое большую производительность на ватт, чем текущие Iris Xe. Последние, напомним, сами по себе вдвое превосходили по производительности на ватт графику Intel UHD 11-го поколения, которая массово использовалась в процессорах ранее.

Кроме того, впервые для интегрированной графики новые чипы получат поддержку XeSS — технологии интеллектуального масштабирования от Intel, аналогичной DLSS от NVIDIA и FSR от AMD. Это должно помочь еще больше увеличить частоту кадров в играх за счёт рендеринга картинки в меньшем разрешении с последующим апскейлингом.

Хотя Intel не предоставила никаких цифр по производительности, она утверждает, что новый интегрированный GPU может «работать при гораздо более низком минимальном напряжении и достигать гораздо более высокой максимальной тактовой частоты», чем предыдущие iGPU — более 2 ГГц.

Так как Meteor Lake — это мобильные процессоры, Intel уделяет особое внимание «выносливому геймингу». По сути, речь идёт о различных оптимизациях энергопотребления, ориентации на более низкую частоту кадров, гибкое распределение нагрузки на CPU и GPU, что и позволяет увеличить время автономной работы. В качестве примера можно привести обычный способ запуска игр с максимальной производительностью, при котором процессор Meteor Lake может потреблять 28 Вт энергии. В режиме Endurance Gaming этот показатель может снизиться до 10 Вт.

Кроме того, Intel разработала собственное «запатентованное недорогое решение для охлаждения с помощью испарительной камеры», которое, как утверждает компания, поможет выпустить мощные ноутбуки для игр и творчества на базе Meteor Lake.

Следует добавить, что не все процессоры Core Ultra семейства Meteor Lake получат новейший графический процессор. Мелкий шрифт гласит: «Графика Intel Arc доступна только в некоторых системах на базе процессоров MTL (Meteor Lake) с двухканальной памятью».

Компания NVIDIA сообщила о наследнике архитектуры Ada Lovelace, передаёт издание HardwareLuxx. На текущий момент он имеет обозначение «Ada Lovelace Next». Анонс новой архитектуры и, судя по всему, видеокарт на её основе ожидается в 2025 году.

Источник изображения: NVIDIA

Весьма примечательно, что NVIDIA решила анонсировать игровую графическую архитектуру нового поколения не в 2024 году, а на год позже. Обычно компания придерживается двухгодичного цикла жизни игровых архитектур. Однако в этот раз производитель графических процессоров решил немного отложить переход на новое поколение.

Источник изображения: HardwareLuxx

Если NVIDIA действительно собирается следовать представленной выше дорожной карте, то вполне можно предположить, что в течение этого или следующего года компания может представить обновлённую архитектуру Ada Lovelace, а также обновлённые модели видеокарт GeForce RTX 40-й серии на её основе. С другой стороны, о вероятности анонса моделей с припиской Super ничего неизвестно даже из слухов. Кроме того, в ассортименте игровых видеокарт NVIDIA также уже есть несколько Ti-моделей, которые сами по себе являются более производительными версиями. А выпускать ту же GeForce RTX 4090 Ti просто не имеет смысла, поскольку прямого конкурента нет даже для обычной версии.

В дорожной карте NVIDIA также упоминаются архитектуры Hopper Next и Grace Next. На их основе будут производиться ускорители вычислений нового поколения для дата-центров. Hopper Next известна из утечек под кодовым именем Blackwell. Её анонс состоится в 2024 году. Grace Next в свою очередь ожидается в 2025-м.

Ожидается, что AMD осенью представит видеокарты Radeon RX 7800-й серии, предположительно, на графическом процессоре Navi 32. Как утверждает YouTube-канал Moore’s Law is Dead, компания AMD также создала уменьшенную версию флагманского графического процессора Navi 31, который используется в Radeon RX 7900 XT и RX 7900 XTX. Источник поделился изображением данного GPU, обладающего компактной упаковкой.

Источник изображения: AMD

На предоставленной фотографии (ниже) графический процессор содержит шесть кристаллов MCD с кэшем и контроллерами памяти. Такая же конфигурация используется у стандартной версии Navi 31. Однако у компактной версии GPU на фото активны только четыре кристалла MCD. Кроме того, сам чип с подложкой имеет размеры 40 × 40 мм (общая площадь 1600 мм²), в то время как стандартная версия Navi 31 имеет размеры 55 × 47,5 мм (общая площадь 2612,5 мм²). Как указывает источник, компактный Navi 31 имеет поддержку 256-битной шины памяти. Это позволяет использовать конфигурации с 4, 8, 16 и 32 Гбайт памяти. Из предыдущих утечек известно, что карта получит 16 Гбайт памяти.

Источник изображения: YouTube / Moore’s Law is Dead

По словам Moore’s Law is Dead, AMD рассылала производителям видеокарт именно образцы компактной версии Navi 31, которая по размерам совпадает с младшим Navi 32, чтобы те могли подготовить новые видеокарты к запуску. По мнению источника, старшая Radeon RX 7800 XT может как раз получить урезанный компактный Navi 31, а обычная Radeon RX 7800 и другие модели среднего сегмента получат Navi 32 в разных конфигурациях с такими же габаритами упаковки — 40 × 40 мм.

Предполагается, что такая компактная версия Navi 31 также может быть использована в ноутбуках, что позволит компании AMD усилить конкуренцию в этом сегменте. Например, чип можно использовать для создания мобильной Radeon RX 7900M XT, которая сможет составить прямую конкуренцию мобильной GeForce RTX 4080 от NVIDIA.