**GPUBreach** ermöglicht es Angreifern, Rowhammer-Bit-Flips im GPU GDDR6-Speicher zu induzieren, um Berechtigungen zu eskalieren und eine vollständige Systemkompromittierung zu erreichen. Der von Forschern der University of Toronto entwickelte Angriff wird am 13. April auf dem bevorstehenden IEEE Symposium on Security & Privacy in Oakland vorgestellt. Die Forscher zeigten, dass durch Rowhammer induzierte Bit-Flips in GDDR6 GPU-Seitentabellen (PTEs) beschädigen und einem nicht privilegierten CUDA-Kernel beliebigen Lese-/Schreibzugriff auf den GPU-Speicher gewähren können. Ein Angreifer kann dies dann durch Ausnutzung von Speicherfehlern im **NVIDIA**-Treiber in eine CPU-seitige Eskalation umwandeln, was potenziell zu einer vollständigen Systemkompromittierung führt, ohne die **Input-Output Memory Management Unit (IOMMU)**-Schutzmaßnahmen zu deaktivieren. <div><figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/steps.jpg" height="224" alt="GPUBreach Angriffsschritte"><figcaption><strong>GPUBreach Angriffsschritte</strong><br><em>Quelle: University of Toronto</em></figcaption></figure></div> Die IOMMU ist eine Hardwareeinheit, die vor direkten Speicherangriffen schützt. Sie steuert und beschränkt, wie Geräte auf den Speicher zugreifen, indem sie verwaltet, welche Speicherbereiche für jedes Gerät zugänglich sind. Obwohl die IOMMU eine wirksame Maßnahme gegen die meisten direkten Speicherzugriffsangriffe (DMA) ist, verhindert sie GPUBreach nicht. „GPUBreach zeigt, dass GPU Rowhammer-Angriffe über reine Datenkorruption hinausgehen und zu echter Berechtigungseskalation führen können“, erklären die Forscher. „Durch die Beschädigung von GPU-Seitentabellen kann ein nicht privilegierter CUDA-Kernel beliebigen Lese-/Schreibzugriff auf den GPU-Speicher erhalten und diese Fähigkeit dann durch Ausnutzung neu entdeckter Speicherfehler im NVIDIA-Treiber in eine CPU-seitige Eskalation umwandeln.“ „Das Ergebnis ist eine systemweite Kompromittierung bis hin zu einer Root-Shell, ohne die IOMMU zu deaktivieren, im Gegensatz zu aktuellen Arbeiten, was GPUBreach zu einer potenteren Bedrohung macht.“ <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" width="664" height="405" alt="Übersicht, wie GPUBreach funktioniert"><figcaption><strong>Übersicht, wie GPUBreach funktioniert</strong><br><em>Quelle: University of Toronto</em></figcaption></figure></div> Dieselbe Forschergruppe demonstrierte zuvor **GPUHammer**, den ersten Angriff, der zeigte, dass Rowhammer-Angriffe auf GPUs praktisch durchführbar sind, was NVIDIA dazu veranlasste, eine Warnung an die Benutzer herauszugeben und die Aktivierung der System Level Error-Correcting Code-Minderung vorzuschlagen, um solche Versuche auf GDDR6-Speicher zu blockieren. GPUBreach hebt die Bedrohung jedoch auf eine neue Ebene, indem es zeigt, dass es möglich ist, nicht nur Daten zu beschädigen, sondern auch Root-Berechtigungen zu erlangen, während die IOMMU aktiviert ist. Die Forscher illustrierten die Ergebnisse mit einer **NVIDIA RTX A6000 GPU** mit GDDR6. Dieses Modell wird häufig in der KI-Entwicklung und für Trainings-Workloads eingesetzt. <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" width="661" height="366" alt="Vergleich mit anderen Angriffen"><figcaption><strong>Vergleich mit anderen GPU-Angriffen</strong><br><em>Quelle: University of Toronto</em></figcaption></figure></div> ### Offenlegung und Abhilfemaßnahmen Die Forscher der University of Toronto meldeten ihre Ergebnisse am 11. November 2025 an NVIDIA, **Google**, **AWS** und **Microsoft**. Google bestätigte den Bericht und verlieh den Forschern eine Bug-Bounty in Höhe von 600 US-Dollar. NVIDIA erklärte, dass es seine bestehende Sicherheitsmitteilung vom Juli 2025 möglicherweise aktualisieren wird, um die neu entdeckten Angriffsmöglichkeiten aufzunehmen. Wie von den Forschern demonstriert, reicht die IOMMU allein nicht aus, wenn GPU-gesteuerter Speicher den vertrauenswürdigen Treiberzustand beschädigen kann. Daher sollten Benutzer, die einem Risiko ausgesetzt sind, sich nicht allein auf diese Sicherheitsmaßnahme verlassen. Error Correcting Code (**ECC**)-Speicher hilft bei der Korrektur von Single-Bit-Flips und der Erkennung von Double-Bit-Flips, ist aber gegen Multi-Bit-Flips nicht zuverlässig. Letztendlich unterstrichen die Forscher, dass GPUBreach für Consumer-GPUs ohne ECC vollständig ungemildert ist. Die Forscher werden die vollständigen Details ihrer Arbeit, einschließlich eines technischen Papiers und eines GitHub-Repositorys mit dem Reproduktionspaket und den Skripten, am 13. April veröffentlichen. NVIDIA teilte BleepingComputer mit, dass sie für Enterprise-Kundenumgebungen die Aktivierung von System Level Error-Correcting Codes empfehlen, um Rowhammer-ähnliche Angriffe zu verhindern. Dies ist standardmäßig auf GPUs der Hopper- und Blackwell-Klasse für Rechenzentren aktiviert.