VU#446598 : Implémentations de noyaux GPU susceptibles de fuites de mémoire

Les plateformes de processeur graphique à usage général (GPGPU) d'AMD, Apple et Qualcomm manquent d'une isolation adéquate pour la mémoire des processus, permettant aux attaquants locaux d'accéder à la mémoire d'autres processus. Cette vulnérabilité, appelée "LeftoverLocals", affecte les plateformes GPGPU qui autorisent la copie de mémoire entre le CPU et le GPU. Les attaquants ayant accès aux capacités du GPU peuvent exploiter cette vulnérabilité pour accéder à la mémoire censée être isolée des autres utilisateurs et processus. Ce problème provient de l'utilisation de la mémoire locale, un cache géré par logiciel qui peut stocker des données sensibles. Les chercheurs de Trail of Bits ont démontré la présence de la vulnérabilité dans diverses interfaces de programmation, notamment Metal, Vulkan et OpenCL, sur plusieurs systèmes d'exploitation et pilotes. Bien que les appareils NVIDIA n'aient pas été affectés lors des tests, la vulnérabilité a un impact sur les implémentations ML embarquées et de centres de données. La résolution de cette vulnérabilité nécessite une collaboration entre les fabricants de matériel, les fournisseurs de bibliothèques logicielles, les programmeurs et les organismes de normalisation. Les développeurs de logiciels GPU doivent mettre à jour leurs bibliothèques et revoir leurs applications pour la confidentialité des données. Les utilisateurs de GPU doivent appliquer les mises à jour logicielles et s'assurer que leurs appareils disposent des dernières protections de sécurité fournies par leurs fournisseurs.