📖Графические процессоры всех основных поставщиков уязвимы к новой "pixel-stealing attack"

Как сообщает Arstechnica, исследователи в своём новом ресерче утверждают, что 6 основных поставщиков GPU уязвимы к недавно обнаруженной атаке, которая позволяет вредоносным сайтам считывать имена пользователей, пароли и другие конфиденциальные визуальные данные.

Сross-origin attack предусматривает то, что вредоносный сайт с одного домена, например, example. com может эффективно считывать пиксели, отображаемые на сайте example. org или другого домена. Злоумышленники способны реконструировать их таким образом, что смогут увидеть слова или изображения, отображаемые на втором сайте. Такая утечка якобы нарушает важнейший принцип безопасности, который формирует один из самых фундаментальных рубежей защиты Интернета, сообщает Arstechnica.

Атака 📂 GPU. zip, получившая название proof-of-concept, начинается с того, что вредоносный сайт размещает ссылку на нужную ему веб-страницу внутри iframe - распространенного элемента HTML, позволяющего встраивать рекламу, изображения и другой контент, размещенный на других сайтах. Как правило, одинаковая политика происхождения не позволяет ни одному из сайтов просматривать исходный код, содержимое или конечный визуальный продукт другого. Исследователи обнаружили, что сжатие данных, используемое как внутренними, так и дискретными графическими процессорами для повышения производительности, служит побочным каналом, который можно использовать для обхода ограничений и кражи пикселей по частям.

🖇Статья GPU. zip будет опубликована на 45-м симпозиуме IEEE по безопасности и конфиденциальности

- Повлияет ли на меня GPU.zip?
- Скорее всего, да. Мы протестировали интегрированные GPU от AMD, Apple, Arm, Intel и Qualcomm, а также один дискретный GPU от Nvidia. По крайней мере, предварительные результаты свидетельствуют о том, что все протестированные GPU затронуты.

↘️ https://www.hertzbleed.com/gpu.zip/GPU-zip.pdf
↘️ https://github.com/UT-Security/gpu-zip

✋ @Russian_OSINT