Эксперты по кибербезопасности компании Trail of Bits обнаружили уязвимость LeftoverLocals, которая затрагивает графические процессоры AMD, Apple и Qualcomm, позволяя злоумышленникам перехватывать данные из памяти при взаимодействии жертвы и запущенной локально модели искусственного интеллекта.

Источник изображения: Gerd Altmann / pixabay.com

Разработчики центральных процессоров потратили годы на совершенствование средств их защиты и предотвращение утечек данных из памяти, даже когда в приоритете оказывается высокая производительность. Графические процессоры первоначально проектировались для собственно графических приложений без учёта конфиденциальности данных. Но сегодня они используются в качестве ускорителей работы алгоритмов ИИ, и уязвимости графических процессоров становятся всё более актуальной проблемой.

Для эксплуатации уязвимости LeftoverLocals злоумышленнику необходимо получить некоторый доступ к операционной системе на целевом устройстве. Современные рабочие станции и серверы проектируются для совместной работы и совместного хранения данных нескольких пользователей — они предусматривают средства их изоляции друг от друга, но атака LeftoverLocals разрушает эти барьеры. В результате хакер получает возможность извлекать данные, к которым у него не должно быть доступа, из локальной памяти, выделенной для графического процессора.

Авторы исследования продемонстрировали, как работает эта атака — они локально запустили большую языковую модель LLaMA с 7 млрд параметров, использовав видеокарту AMD Radeon RX 7900 XT, задали ИИ вопрос и «подслушали» ответ. Полученные ими данные почти полностью совпали с действительным ответом системы. Для осуществления атаки потребовались менее десяти строк кода.

Источник изображения: wired.com

Минувшим летом они протестировали 11 чипов от 7 производителей графических процессоров в нескольких программных средах. Уязвимость LeftoverLocals обнаружилась в графике AMD, Apple и Qualcomm; впоследствии Google подтвердила её наличие в некоторых моделях от Imagination; наличие уязвимости для графики NVIDIA, Intel и Arm подтвердить не удалось. Представитель Apple признал проблему и сообщил, что уязвимость была закрыта для чипов M3 и A17 — вероятно, имеется в виду, что более ранние модели так и останутся уязвимыми. В Qualcomm сообщили Wired, что компания находится «в процессе» передачи обновлений безопасности своим клиентам; по сведениям Trail of Bits, компания выпустила все необходимые обновления прошивок. AMD сообщила на своём сайте, что в марте выйдет обновление ПО, которое поможет «выборочно смягчить последствия» LeftoverLocals. Google доложила, что выпустила обновление ChromeOS для устройств на чипах AMD и Qualcomm.

Тем не менее, в Trail of Bits предупреждают, что конечным пользователям может быть непросто получить все эти обновлённые варианты ПО. Производители чипов выпускают новые версии прошивок, а выпускающие ПК и комплектующие компании внедряют их в свежие версии собственного ПО, которое впоследствии передаётся конечным владельцам оборудования. Учитывая большое число игроков на мировом технологическом рынке, координировать действия всех сторон непросто. Для эксплуатации LeftoverLocals требуется определённый уровень доступа к целевым устройствам, но современные взломы осуществляются через целые цепочки уязвимостей, и данная может быть лишь одним из звеньев.

С другой стороны, исследователи установили, что организация атаки через LeftoverLocals представляется маловероятной в сценариях облачных провайдеров, мобильных приложений и взломов через веб-ресурсы. Но производителям графических процессоров придётся привыкать к мысли, что и им придётся учитывать фактор конфиденциальности данных, поскольку видеокарты сейчас используются не только для обработки графики.

Основная доля выручки NVIDIA в размере $14,5 млрд в сегменте оборудования для центров обработки данных в третьем квартале пришлась на продажи специализированных графических ускорителей H100 для ИИ и высокопроизводительных вычислений (HPC). По мнению аналитической компании Omdia, NVIDIA продала в третьем квартале этого года почти полмиллиона ускорителей A100 и H100, а спрос на эти продукты настолько высок, что срок поставок серверов с ними увеличился с 36 до 52 недель.

Источник изображения: NVIDIA

Эксперты Omdia считают, что крупнейшими покупателями графических ускорителей NVIDIA H100 являются компании Meta✴ и Microsoft. По мнению аналитиков, каждая из них закупила по 150 тыс. указанных ускорителей. В свою очередь Google, Amazon, Oracle и Tencent купили по 50 тыс. указанных специализированных ускорителей. Примечательно, что основная часть серверных ускорителей поставляется операторам гипермасштабируемых облачных услуг. В свою очередь, OEM-производители серверов (Dell, Lenovo, HPE) пока не могут забронировать достаточное количество графических процессоров для ИИ и высокопроизводительных вычислений, чтобы выполнить свои заказы на поставки серверов, утверждают специалисты Omdia.

Источник изображения: Omdia

Аналитики полагают, что продажи ускорителей NVIDIA H100 и A100 превысят полмиллиона единиц в четвертом квартале 2023 года. Между тем, спрос на H100 и A100 настолько велик, что срок поставки серверов на базе этих GPU достигает 52 недель. В то же время Omdia сообщает, что в целом объём поставок серверов в 2023 году сократится на 17–20 % по сравнению с прошлым годом, но при этом выручка в этом направлении вырастет на 6–8 % в годовом исчислении.

Следует также отметить, что многие из крупнейших покупателей специализированных ускорителей NVIDIA H100 и A100 сами разрабатывают собственные специализированные GPU для задач ИИ, высокопроизводительных вычислений и графики. Поэтому в перспективе объёмы закупок оборудования у NVIDIA этими компаниями снизятся по мере перехода на собственные решения.

В Omdia также прогнозируют, что рынок серверов в целом вырастет до $195,6 млрд к 2027 году. Одним из драйверов этого роста послужит переход к специализированным серверным системам, в которых будут применяться наборы разнообразных сопроцессоров, предназначенных под конкретные виды задач. Примером уже могут служить серверы компании Amazon для ИИ, в которых применяются 16 специализированных сопроцессоров Inferentia 2, а также серверы кодирования видео компании Google, оснащающиеся 20 специальными VCU или чипами видеокодирования. Компания Meta✴ также последовала этому примеру и выпустила серверы, оснащённые 12 специальными процессорами для обработки видео.

Отмечается, что интерес к использованию специализированных сопроцессоров, оптимизированных для выполнения определённых задач, будет расти по мере внедрения технологий, которые позволят снизить стоимость производства данных чипов. Ключевыми областями применения таких чипов сейчас являются ИИ и медиа, однако в дальнейшем, как ожидается, они также найдут своё применение в сегментах управления базами данных и веб-сервисах.

Arm сообщила об уязвимостях, обнаруженных в драйверах графических процессоров серии Mali — они эксплуатируются злоумышленниками и затрагивают широкий ассортимент устройств, включая смартфоны Google Pixel и другие под управлением Android, а также хромбуки и другие Linux-устройства.

Источник изображения: Pete Linforth / pixabay.com

«Локальный непривилегированный пользователь может выполнить запрещённую операцию, связанную с обработкой памяти графическим процессором, чтобы получить доступ к уже освобождённой памяти. Проблема исправлена для Bifrost, Valhall и в драйвере ядра для архитектуры графического процессора Arm 5 поколения. Есть свидетельства, что уязвимость может ограниченно целенаправленно эксплуатироваться», — говорится в заявлении Arm. Уязвимость позволяет злоумышленнику получить доступ к освобождённой памяти — это распространённый механизм загрузки вредоносного кода для эксплуатации других уязвимостей или установки шпионского ПО. Стоит отметить, что в заявлении Arm говорится о драйверах, а не о прошивке графических процессоров.

Уязвимости присвоен номер CVE-2023-4211 — она затрагивает драйверы для графических подсистем семейств Midgard, Bifrost, Valhall и чипов пятого поколения. Предполагается, что уязвимости подвержены смартфоны Google Pixel 7, Samsung Galaxy S20 и S21, Motorola Edge 40, OnePlus Nord 2, ASUS ROG Phone 6, Redmi Note 11 и 12, Honor 70 Pro, Realme GT, Xiaomi 12 Pro, Oppo Find. X5 Pro и Reno 8 Pro, а также ряд телефонов на платформах MediaTek. В сентябрьском обновлении Google закрыла уязвимость для устройств линейки Pixel, а также для хромбуков — она устранена с патчами, датированными 1 сентября 2023 года и более поздними. Arm выпустила обновления драйверов под Linux. Разработчик, кроме того, упомянул уязвимости CVE-2023-33200 и CVE-2023-34970, которые тоже открывают доступ к уже освобождённой памяти.

Для эксплуатации всех трёх уязвимостей хакеру необходим локальный доступ к устройству, либо, заставить жертву самостоятельно установить вредоносное приложение из неофициального репозитория. Пока неизвестно, на каких платформах и для каких устройств выпущены патчи, поэтому рекомендуется обращаться к производителю устройства.

Американские исследователи обнаружили в графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA уязвимость, из-за которой сайты с вредоносным кодом могут осуществлять кражу данных с других сайтов — это могут быть логины, пароли и любая другая отображаемая конфиденциальная информация.

Источник изображения: nvidia.com

Основанный на обнаруженной уязвимости тип атаки получил название GPU.zip — он позволяет использовать ресурсы графических процессоров для кражи данных с сайтов, страницы которых вставляются через элементы iframe на другие ресурсы, вредоносные. Исследователи обнаружили, что сжатие данных, которое обрабатывается интегрированными и дискретными видеокартами для повышения производительности, может оказаться побочным каналом кражи информации — она осуществляется попиксельно.

Современные графические процессоры автоматически пытаются сжимать эти визуальные данные без участия ПО, которое этими данными оперирует — это делается для экономии ресурсов памяти и повышения производительности. Примечательно, что атака осуществляется в браузерах Chrome или Edge, но не работает в Firefox и Safari. В качестве условной жертвы исследователи взяли сайт «Википедия», код которого встроили через iframe на страницу собственного ресурса. Атака сработала на графических процессорах Apple, Intel, AMD, Qualcomm, Arm и NVIDIA. В случае с AMD Ryzen 7 4800U потребовалось около 30 минут для рендеринга целевых пикселей с точностью 97 %. В случае с Intel Core i7-8700 время увеличилось до 215 минут.

Разница между исходными и восстановленными данными. Источник изображения: hertzbleed.com

Все графические процессоры используют собственные методы сжатия данных при выводе содержимого — они не документируются, но учёным удалось задействовать обратную инженерию в каждом случае. Для этого они воспользовались форматом векторной графики SVG и зафиксировали различия между чёрными и белыми пикселями в трафике DRAM. В работе описан способ кражи данных через встроенную графику, но аналогичный способ реализуется и через дискретную.

Для осуществления атаки в браузере должны исполняться три условия:

1. разрешена загрузка iframe с файлами cookie;
2. разрешён рендеринг SVG-фильтров в iframe;
3. рендеринг осуществляется графическим процессором.

В ответ за запрос представитель Google заявил, что защитить свои ресурсы от атаки веб-мастер может при помощи HTTP-заголовков X-Frame-Options и Content Security Policy. Кроме того, реализовать атаку довольно сложно технически, и она требует продолжительного времени, что снижает величину угрозы для обычных пользователей. В Intel и Qualcomm заявили, что уязвимость, связанная с GPU.zip, относится не к графическим процессорам, а к стороннему ПО, поэтому никаких мер в компаниях предпринимать не собираются. Apple, NVIDIA, AMD и Arm комментариев не предоставили.

Возможно, атака GPU.zip действительно не представляет значительной угрозы для рядового пользователя, но, как отметили обнаружившие её исследователи, она может лечь в основу других, более опасных эксплойтов. Кроме того, она в очередной раз указывает, что аппаратная оптимизация способна создавать побочные каналы кражи данных, которые невозможно смягчить программными средствами.

Компания Intel сегодня раскрыла подробности о грядущих мобильных процессорах Meteor Lake. Новинки во многих отношениях станут инновационными, принеся массу совершенно новых для Intel решений в потребительский сегмент. Серьёзный апгрейд претерпит и встроенная графика, благодаря чему она станет намного мощнее текущих iGPU в процессорах Intel. Фактически, Intel интегрирует графику дискретных видеокарт Arc в свои центральные процессоры.

Ключевой особенностью Meteor Lake станет чиплетное исполнение: процессор будет состоять из четырёх кристаллов — CPU, GPU, SoC и I/O. Интегрированный графический процессор у новинок перейдёт на более мощную архитектуру Xe LPG, унаследованную от настольной Xe HPG, которая значительно превосходит текущую Iris Xe по производительности.

Графический процессор получил такой же набор исполнительных блоков, как у видеокарты Arc A380. Речь идёт о восьми графических ядрах Xe, что означает наличие 1024 шейдеров. Также новая «встройка» предложит 128 векторных движков (аналог исполнительных блоков, EU), два геометрических конвейера, восемь блоков для аппаратного ускорения трассировки лучей и прочие элементы.

Intel утверждает, что графические процессоры Xe LPG обеспечивают вдвое большую производительность на ватт, чем текущие Iris Xe. Последние, напомним, сами по себе вдвое превосходили по производительности на ватт графику Intel UHD 11-го поколения, которая массово использовалась в процессорах ранее.

Кроме того, впервые для интегрированной графики новые чипы получат поддержку XeSS — технологии интеллектуального масштабирования от Intel, аналогичной DLSS от NVIDIA и FSR от AMD. Это должно помочь еще больше увеличить частоту кадров в играх за счёт рендеринга картинки в меньшем разрешении с последующим апскейлингом.

Хотя Intel не предоставила никаких цифр по производительности, она утверждает, что новый интегрированный GPU может «работать при гораздо более низком минимальном напряжении и достигать гораздо более высокой максимальной тактовой частоты», чем предыдущие iGPU — более 2 ГГц.

Так как Meteor Lake — это мобильные процессоры, Intel уделяет особое внимание «выносливому геймингу». По сути, речь идёт о различных оптимизациях энергопотребления, ориентации на более низкую частоту кадров, гибкое распределение нагрузки на CPU и GPU, что и позволяет увеличить время автономной работы. В качестве примера можно привести обычный способ запуска игр с максимальной производительностью, при котором процессор Meteor Lake может потреблять 28 Вт энергии. В режиме Endurance Gaming этот показатель может снизиться до 10 Вт.

Кроме того, Intel разработала собственное «запатентованное недорогое решение для охлаждения с помощью испарительной камеры», которое, как утверждает компания, поможет выпустить мощные ноутбуки для игр и творчества на базе Meteor Lake.

Следует добавить, что не все процессоры Core Ultra семейства Meteor Lake получат новейший графический процессор. Мелкий шрифт гласит: «Графика Intel Arc доступна только в некоторых системах на базе процессоров MTL (Meteor Lake) с двухканальной памятью».

Microsoft тестирует новый инструмент удаления фона во встроенном в Windows 11 графическом редакторе Paint. Функция уже стала доступной для инсайдеров Windows на каналах Canary и Dev (версия 11.2306.30.0) и позволяет удалять фон изображения одним кликом мыши.

Источник изображений: Microsoft

Чтобы использовать новый инструмент, пользователю нужно открыть изображение с помощью Paint, а затем нажать кнопку удаления фона в левой части панели инструментов графического редактора (выделена красным на представленном выше скриншоте). После этого Paint автоматически определит объект изображения и удалит фон. Microsoft отмечает, что пользователь может вручную выбирать часть фона, которую хочет удалить.

Добавление инструмента удаления фона в Paint сделает старый добрый графический редактор Windows значительно полезнее. Ведь именно отсутствие этого инструмента вынуждало большинство пользователей искать ему альтернативу. Многие пользователи Windows использовали Paint для быстрого и несложного редактирования изображений, такого как обрезка, изменение размера, поворот, но вынуждены были применять сторонние приложения для крайне востребованной операции по удалению фона.

Использование сторонних программ требовало дополнительных действий или затрат: редактор Canva, например, предлагает удаление фона только при платном доступе, а Adobe Express не работает без создания учётной записи. Доступ к удалению фона непосредственно из Paint значительно ускорит и удешевит эту операцию. Сообщается, что в дополнение к новому средству для удаления фона Microsoft также тестирует в Paint генератор изображений на базе ИИ.

В этой связи остаётся непонятным только одно: развивая встроенный в Windows графический редактор Paint, Microsoft в то же время планирует полностью удалить из операционной системы текстовый редактор WordPad, позволяющий создавать и редактировать документы с форматированным текстом, а также вставлять изображения и ссылки.