【2024-01-17 22:32:22爱思瑞网快讯】
一个名为LeftoverLocals的安全漏洞允许攻击者访问已在设备GPU中处理的数据,虽然苹果表示A17 iPhone和M3 Mac有修复措施,但早期型号没有。
这份报告以及LeftoverLocals的命名来自Trail of Bits,此前该组织曾展示过苹果的封闭式安全机制如何使黑客受益。该组织现在表示已经发现了“一种漏洞,允许从Apple、Qualcomm、AMD和Imagination GPU中的另一个进程所创建的GPU本地内存中恢复数据”的脆弱性。
这是一个特别重要的漏洞,因为它可以读取的数据量很大,而且GPU在处理大型语言模型(LLM)的人工智能方面的应用越来越广泛。
Trail of Bits在一篇博文中写道:“通过恢复本地内存——一种经过优化的GPU内存区域,我们能够构建一个PoC(概念验证),通过它,攻击者可以在不同进程或容器边界上窃听到另一个用户的互动LLM会话(例如llama.cpp)。”
左侧:用户正在输入AI。右侧:攻击者可以接收到多少信息
据报道,苹果在收到研究人员的信息后反应较慢,但已经修复了某些设备。“我们在1月10日重新测试了这个漏洞,”研究人员表示,“看起来有些设备已经修复了,比如苹果iPad Air 3(A12)。”
“然而,问题仍然存在于苹果MacBook Air(M2)上,”他们继续说道。“此外,最新发布的苹果iPhone 15似乎没有受到影响,而之前的版本受到了影响。”
苹果告诉Wired,最新的iPhone和搭载A17和M3芯片的Mac已经发布了修复补丁。
如何保护自己免受LeftoverLocals的影响
这个漏洞需要访问用户的设备,无法远程执行。目前,对于使用受影响设备的用户来说,最好的保护方式是不要让第三方访问他们的设备。此外,用户应始终安装苹果的最新安全更新。
目前尚不清楚苹果对受影响设备的未来补丁计划。
