RyzenのiGPUやRadeon dGPUに脆弱性。GPUメモリ内のデータを窃取される恐れ
AMDは、RyzenのiGPUやRadeon dGPUに脆弱性があることを明らかにしました。
2024年1月16日(現地時間)付けで情報公開された脆弱性名は『LeftoverLocals』、CVE-IDはCVE-2023-4969。LeftoverLocalsを見つけたセキュリティ企業のTrail of Bitsによると、この脆弱性を悪用されると、GPUメモリ内のデータを窃取される恐れがあるとのこと。
この脆弱性の影響を受ける製品は以下。
- iGPUを搭載したRyzen 4000~7000およびAthlon 3000シリーズ
- Radeon RX 5000~7000シリーズ
- Radeon PRO W5000~W6000シリーズ
- Radeon PRO V520~V620
- Radeon Instinct MI25~MI50
- Instinct MI100~MI300X
AMDは2024年3月公開予定のドライバアップデートにて、本脆弱性の緩和策の実装を予定しています。緩和策はデフォルトでは有効になっておらず、必要に応じて有効にする必要があります。詳細は、今後、AMDのサイトにて発表が予定されています。
以下、余談ですが、この脆弱性はAMDだけでなく、Apple、Qualcomm、Imaginationも影響を受けます。
- Apple: A12搭載の第3世代iPad Airなどは修正済み。ほか、A17やM3シリーズも対策済みでiPhone 15 Proなどは脆弱性の影響を受けません。一方、M2搭載のMacBook Airはまだ修正されていません。具体的にどれが修正済みで未修正なのか、詳細なリストは共有されていません
- Qualcomm: ファームウェアv2.07で修正したものの、まだ影響を受ける可能性があるとされています
- Imagination: DDK 23.3で修正
Intel、NVIDIA、ARMは本脆弱性の影響を受けません。