JVNDB-2024-001051
|
GPU カーネル実装に情報漏えいの脆弱性 (LeftoverLocals)
|
|
GPU カーネル実装において、情報漏えいの脆弱性が報告されています。
画像処理や機械学習などにおいては単純な数値演算を大量に行う必要があり、専用の GPU を搭載したシステムではこのような処理を CPU の代わりに高速に実行することが可能です。
GPU を使った処理は、以下のような流れで実行されます:
* CPU 側のメモリから GPU が使用するメモリにデータをコピーする
* GPU 上で並列実行されるユーザープログラム(「GPU カーネル」と呼ぶ)がデータを処理する
* 最後に処理結果のデータを CPU 側のメモリにコピーする
GPU カーネルの実行後に、GPU が使用したメモリ領域が初期化されない場合、残されている処理結果のデータを、次に実行される GPU カーネルが読み取ることが可能になります (CVE-2023-4969)。
|
|
CVSS v3 による深刻度
基本値: 6.5 (警告) [NVD値]
- 攻撃元区分: ローカル
- 攻撃条件の複雑さ: 低
- 攻撃に必要な特権レベル: 低
- 利用者の関与: 不要
- 影響の想定範囲: 変更あり
- 機密性への影響(C): 高
- 完全性への影響(I): なし
- 可用性への影響(A): なし
|
|
* GPU カーネル実装
報告者は、AMD、Apple、Qualcomm が提供する GPU システムにおいて本脆弱性を確認しています。
|
(複数のベンダ)
|
|
|
本脆弱性の影響を受ける GPU カーネル実装を使用しているシステムにおいて、GPU で処理されたデータを他のユーザプロセスから読み取られる可能性があります。
|
|
[GPU を使用するソフトウェア開発者向けの対策]
ソフトウェア開発に使用する GPU 関連のライブラリを最新版にアップデートしてください。
また、GPU ベンダが提供する情報をもとに、GPU を使用する処理を実装する際にはデータが適切に保護されることを確認してください。
[GPU システムのユーザ向けの対策]
GPU 関連のライブラリやソフトウェアを最新版にアップデートしてください。
|
|
(複数のベンダ)
|
|
- 有効期限後のメモリの解放の欠如(CWE-401) [NVD評価]
|
|
- CVE-2023-4969
|
|
- JVN : JVNVU#97951800
- National Vulnerability Database (NVD) : CVE-2023-4969
- US-CERT Vulnerability Note : VU#446598
- 関連文書 : LeftoverLocals: Listening to LLM responses through leaked GPU local memory
- 関連文書 : Khronos Group Working with Trail of Bits for Increased API Security
|
|
- [2024年01月19日]
掲載
- [2024年03月12日]
CVSS による深刻度:内容を更新
CWE による脆弱性タイプ一覧:内容を更新
参考情報:National Vulnerability Database (NVD) (CVE-2023-4969) を追加
|
