Исследователи описали две новые Rowhammer-атаки на память видеокарт Nvidia — GDDRHammer и GeForge. Они бьют по GDDR6-памяти и через битовые ошибки в защищенных областях VRAM могут дать злоумышленнику чтение и запись, а дальше — выход в системную память и контроль над машиной.
О находке подробно написала Ars Technica. Технические детали и документы команды выложили на сайте gddr.fail.
Чем GeForge и GDDRHammer отличаются от прошлогоднего GPUHammer
Rowhammer знают по атакам на оперативную память ПК: если часто дергать соседние строки памяти, можно вызвать bit flip — смену 0 на 1 или наоборот. Из-за этого рушатся границы доступа, и атакующий получает более высокий уровень привилегий.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
До недавнего времени Rowhammer ассоциировали с CPU и DDR-памятью. В конце 2025 года исследователи впервые показали, что уязвима и видеопамять: атака GPUHammer на RTX A6000 с GDDR6 могла одним битовым сбоем уронить точность AI-модели с 80% до 0,1%.
Новые атаки идут дальше. Их цель — не просто испортить вычисления, а добраться до структур управления памятью на GPU и получить полный доступ к VRAM, а затем — к системной памяти.
Как работает GDDRHammer: «умный» Rowhammer и 129 flips на банк
GDDRHammer использует тот же принцип «молотка», но делает атаку более управляемой. В исследовании описали технику memory massaging: она «подталкивает» целевые структуры данных в области VRAM, которые хуже защищены от электрических помех со стороны драйверов.
В результате команда добилась до 129 битовых переворотов на один банк памяти. Дальше атакующий бьет по page tables GPU — таблицам страниц, которые связывают виртуальные адреса с физическими адресами в VRAM.
Если повредить эти таблицы, ломается изоляция памяти между задачами. Исследователи описывают итог просто: атакующий получает полный read/write к VRAM.
GeForge бьет глубже: до 1171 flips на RTX 3060 и атака на page directory
GeForge похож на GDDRHammer по механике, но целится в более «верхний» уровень адресации — page directory, который указывает на таблицы страниц. Если сломать directory, атакующий подрывает защиту на более глубоком уровне.
В эксперименте команда смогла вызвать 1 171 битовый переворот на RTX 3060 и 202 переворота на RTX A6000. Да, это бьет по надежности памяти, но исследователи отдельно подчеркивают риск для всей системы.
Формулировка из их работы звучит жестко: «an attacker can modify the page table on the GPU to point to memory on the CPU, thereby giving the attacker the ability to read/write all of the CPU’s memory as well, which of course completely compromises the machine». По сути, через подмену отображения памяти GPU можно нацелиться на RAM CPU и получить полный контроль.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Еще одна деталь: GeForge, по описанию исследователей, работает даже если IOMMU отключен в BIOS.
Какие видеокарты под риском и что с защитой
Пока уязвимость подтверждена для GDDR6. Исследователи протестировали 25 GPU с этой памятью и нашли уязвимости в большинстве образцов.
Более новые видеокарты с GDDR6X и GDDR7 тоже проверяли, но скомпрометировать их пока не смогли.
Nvidia ранее советовала включать ECC как меру против Rowhammer. У этого есть цена: ECC режет доступный объем VRAM, дает накладные расходы по скорости и доступен не на каждой карте.
Второй барьер — IOMMU в BIOS. Это механизм, который жестко ограничивает DMA-доступ устройств к системной памяти. В описании исследователей включенный IOMMU закрывает уязвимость, потому что даже поврежденные таблицы отображения на GPU не дают выйти за «песочницу» в RAM CPU.
При этом Rowhammer-атаки такого типа требуют локального доступа к системе, чтобы запустить код. Риск выше в среде с общими ресурсами, например в кластерах с GPU под AI-нагрузки. Технические документы по обеим атакам опубликованы на gddr.fail, а обзор последствий для безопасности — у Ars Technica.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.