Los fallos de seguridad en las GPU se están haciendo más comunes porque durante años no han sido interesantes para los piratas. Sin embargo, con el aumento de la computación basada en las GPU o para virtualizar usuarios, el equipo de investigación Trail of Bits ha advertido de que hay que revisar su seguridad, y para demostrarlo han publicado información sobre una vulnerabilidad a la que llaman LeftoverLocals.
Este fallo permite que un atacante ignore el aislamiento entre la información de distintos usuarios de un equipo, por lo que afecta a servidores y a usuarios domésticos. Un atacante que tenga acceso a un equipo puede acceder a información del sistema a través de la memoria de la GPU, la cual puede leer y extraer información que se haya dejado en ella después de usarla. Para explotar esta vulnerabilidad solo han necesitado diez líneas de código.
Las GPU afectadas son las de AMD, Qualcomm y Apple. En el caso de AMD, le ha dado una severidad media debido a que para explotarla primeramente hay que tener acceso al equipo de alguna otra forma, y aun así la información que se puede extraer no es tan sensible en el entorno doméstico. Apple actualizó sus GPU de los procesadores A17 y M3, anunciados a finales de 2023, así como el A12 del iPad Air, pero no ha indicado cuándo parcheará el resto de sus productos.
Las tarjetas gráficas de AMD afectadas son las RX 5000 en adelante, los Ryzen con iGPU —que comparte la memoria con la CPU—, y las Instinct RDNA. AMD desarrollará un nuevo modo para limpiar adecuadamente la memoria de la GPU después de que se deje de usar.
Qualcomm está todavía desarrollando una solución al problema. Las GPU de otros fabricantes como NVIDIA, Arm o Imagination Technologies no son vulnerables.
Vía: Tom's Hardware, Ars Technica.
