Una vulnerabilidad descubierta en diferentes unidades de procesamiento gráfico (GPU) fabricadas por Apple, Qualcomm, AMD e Imagination permite el acceso a la memoria local y la revisión de datos procesados por ellas, como los generados por modelos de lenguaje grandes (LLM, por sus siglas en inglés). La compañía de ciberseguridad Trail of Bits ha dado a conocer la existencia de este fallo, denominado LeftloverLocals. Concretamente, ha sido el investigador Tyler Sorensen quien ha descubierto esta brecha, que se ha identificado como CVE-2023-4969 y que ya se ha comunicado a las diferentes compañías afectadas, según ha precisado un comunicado publicado en su blog. LeftloverLocals es un 'exploit' que se puede implementar como otra aplicación en un dispositivo y que solo requiere la capacidad de ejecutar aplicaciones informáticas en la GPU. Por ejemplo, a través de las interfaces de programación de aplicaciones (API) de OpenCL, SPIR-V de Vulkan y Metal Shading Language. La firma también ha aclarado que las GPU son coprocesadores orientados al rendimiento que "se utilizan cada vez más" para tareas de aprendizaje automático ('machine learning') y que se componen de diferentes unidades de cómputo, que contienen un caché para la memoria global del procesador, así como una especial denominada 'memoria local', administrada por 'software'. Al utilizar las API de los mencionados programas, el atacante tiene la capacidad de leer los datos que la víctima ha almacenado en la memoria local no inicializada, una actividad para la que emplea programas de ataque de uso sencillo, esto es, con menos de diez líneas de código. Esto significa que para aprovecharse de esta vulnerabilidad, no es necesario que los atacantes sean expertos, ya que está al alcance de programadores aficionados, que pueden acceder a información como consultas y respuestas generadas por LLM. Trail of Bits también ha comentado que se trata de una falla escurridiza, ya que para los usuarios no es fácil descubrir si esta vulnerabilidad se ha explotado en sus sistemas, puesto que "hay formas muy limitadas de observar que un atacante está robando o ha robado datos". Asimismo, desde la firma de ciberseguridad han insistido en que, si bien las fugas de memoria de la GPU no son nuevas, esta falla en las mencionadas plataformas ha demostrado tener un impacto más profundo y más amplio que las fallas descubiertas con anterioridad. Asimismo, en las GPU afectadas es posible que un kernel pueda observar valores en la memoria local escritos por otro kernel, lo que quiere decir que un atacante que tenga acceso a una GPU compartida a través de su interfaz programable puede robar memoria de otros usuarios y procesos. CORRECCIONES POR PARTE DE LAS AFECTADAS La compañía ha comentado finalmente que presentó su informe de errores en septiembre del año pasado al Centro de Coordinación CERT y que este organismo se encargó de confirmar a las marcas afectadas sobre esta vulnerabilidad. Tras reconocer el problema, proporcionaron un parche para su 'firmware', aunque en el caso de Qualcomm se solucionó el problema solo en algunos de sus dispositivos. Apple, por su parte, ha sido de las últimas en confirmar que los procesadores de las series A17 y M3 contienen correcciones para LeftloverLocals. No obstante, un portavoz de la compañía ha indicado que esta vulnerabilidad aparentemente estaría presente en millones de iPhones, iPads y MacBooks de generaciones anteriores, a excepción del iPad Air A12 de tercera generación, tal y como recoge Wired. Nvidia y ARM han confirmado que sus dispositivos no se ven afectados actualmente por esta brecha de seguridad en sus componentes, mientras que AMD, que ha visto afectada su GPU Radeon RX 7900 XT, continúa investigando posibles planes de mitigación. Google también ha reconocido que ha publicado correcciones para dispositivos ChromeOS (Stable 120 y LTS 114) con GPU AMD y Qualcomm afectadas, y ha confirmado que algunas de las unidades de Imagination sí se vieron impactadas por la falla y fueron corregidas con el parche DDK 23.3 lanzado en diciembre, a pesar de que Trail of Bits no la advirtió en sus GPU.
Últimas Noticias
Israel confirma la muerte de un supuesto miembro de Hezbolá en un ataque en el sur de Líbano
El ejército israelí anunció operaciones aéreas en Taibé, donde abatió a un presunto opositor, argumentando que actuaba para neutralizar amenazas contra su seguridad tras el cese al fuego, desatando críticas de Líbano, Naciones Unidas y Hezbolá
Las hipotecas sobre viviendas marcan récord en 16 años para un mes de octubre y el interés baja al 2,81%
El número de préstamos inmobiliarios concedidos en octubre llegó a 52.198, el mayor para ese mes desde 2009, mientras la duración media de los créditos alcanzó los 26 años y el capital total prestado superó los 8.721 millones de euros
Filipinas niega indicios sobre un presunto "entrenamiento terrorista" por parte de los atacantes de Sídney
Las autoridades del país asiático rechazaron las especulaciones sobre la posible vinculación de los responsables del ataque en Australia con movimientos extremistas locales, asegurando que no existe evidencia que respalde teorías de formación radical en su territorio
Encarnita Polo, recordada un mes después de su muerte por su hija Raquel y el mundo del espectáculo
A un mes del trágico deceso de la intérprete, familiares y referentes del espectáculo se congregaron en Madrid para exigir justicia, mientras la policía sigue investigando si el fallecimiento en una residencia estuvo vinculado a un presunto homicidio
Descubren unos fósiles que confirman que las abejas utilizaron huesos como lugar para poner sus huevos
Un equipo internacional documentó por primera vez que insectos polinizadores aprovecharon restos óseos en cuevas caribeñas para proteger sus crías, revelando conductas nunca antes registradas y aportando claves sobre la supervivencia animal en ambientes extremos del pasado
