Side-channel-ի նոր հարձակումը, որը կոչվում է GPU.zip, տվյալների արտահոսքի տեսանկյունից խոցելի է դարձնում գրեթե բոլոր ժամանակակից գրաֆիկական մշակման միավորները (GPU):
Graphical data compression-ը ինտեգրված GPU-ների (iGPU-ների) գործառույթն է, որը թույլ է տալիս խնայել հիշողության bandwidth-ը և բարելավել սարքի աշխատունակությունը:
Խոցելիության հաջող չարաշահումը malware ծրագրերին թույլ կտա տարբերակել այլ վեբ էջերի individual pixel-երը, որոնք ներկառուցված է Google Chrome-ի վերջին տարբերակի iframe-ում: Արդյունքում malware-ները շրջանցում են անվտանգության կարևոր սահմանները, ինչպիսիք են same-origin policy-երը (SOP):
Հատկապես Chrome-ն ու Microsoft Edge-ն են խոցելի համանման հարձակումների ժամանակ, քանի որ դրանք cross-origin ifram-երին թույլ են տալիս տեսանելի դառնալ և հայտնաբերվել cookie-երի մօջոցով: Դրանք թույլ են տալիս արտապատկերել SVG ֆիլտրերը iframe-ների վրա և rendering task-երը փոխանցել GPU-ին: Այնուամենայնիվ, Mozilla Firefox-ի և Apple Safari-ի վրա սա չի ազդում:
Որոշ վեբ ստանդարտներ framing page-երին թույլ են տալիս iframed էջի վրա կիրառել տեսողական էֆեկտներ՝ դրանով իսկ մեխանիզմը ենթարկելով side-channel-երի հարձակումներին:
Ցանկը ներառում է՝ AMD-ի, Apple-ի, Arm-ի, Intel-ի, Nvidia-ի և Qualcomm-ի սարքերը: Այնումենայնիվ, այն կայքերը, որոնք հերքում են, որ ներկառուցված են cross-origin կայքերին, ենթակա չեն pixel-stealing հարձակումներին:
Աղբյուրը՝ https://thehackernews.com/
