O **GPUBreach** permite que atacantes induzam bit-flips de Rowhammer em memórias GDDR6 de GPUs para escalar privilégios e levar a um comprometimento completo do sistema. O ataque, desenvolvido por pesquisadores da Universidade de Toronto, será apresentado no próximo IEEE Symposium on Security & Privacy em 13 de abril em Oakland. Os pesquisadores demonstraram que bit-flips induzidos por Rowhammer em GDDR6 podem corromper tabelas de páginas de GPU (PTEs) e conceder acesso arbitrário de leitura/escrita à memória da GPU a um kernel CUDA não privilegiado. Um atacante pode então encadear isso em uma escalada do lado da CPU explorando bugs de segurança de memória no driver da **NVIDIA**, potencialmente levando ao comprometimento completo do sistema sem desabilitar a proteção da **Unidade de Gerenciamento de Memória de Entrada-Saída (IOMMU)**. <div><figure><img width="900" src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/steps.jpg" height="224" alt="Etapas do ataque GPUBreach"><figcaption><strong>Etapas do ataque GPUBreach</strong><br><em>Fonte: Universidade de Toronto</em></figcaption></figure></div> A IOMMU é uma unidade de hardware que protege contra ataques de acesso direto à memória. Ela controla e restringe como os dispositivos acessam a memória, gerenciando quais regiões de memória são acessíveis a cada dispositivo. Apesar de ser uma medida eficaz contra a maioria dos ataques de acesso direto à memória (DMA), a IOMMU não impede o GPUBreach. "O GPUBreach mostra que ataques de Rowhammer em GPUs podem ir além da corrupção de dados para a escalada de privilégios real", explicam os pesquisadores. "Ao corromper tabelas de páginas de GPU, um kernel CUDA não privilegiado pode obter leitura/escrita arbitrária na memória da GPU e, em seguida, encadear essa capacidade em uma escalada do lado da CPU explorando bugs de segurança de memória recém-descobertos no driver da NVIDIA." "O resultado é um comprometimento em todo o sistema até um shell root, sem desabilitar a IOMMU, ao contrário de trabalhos contemporâneos, tornando o GPUBreach uma ameaça mais potente." <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/overview.jpg" width="664" height="405" alt="Visão geral de como o GPUBreach funciona"><figcaption><strong>Visão geral de como o GPUBreach funciona</strong><br><em>Fonte: Universidade de Toronto</em></figcaption></figure></div> Os mesmos pesquisadores demonstraram anteriormente o **GPUHammer**, o primeiro ataque a mostrar que ataques de Rowhammer em GPUs são práticos, levando a NVIDIA a emitir um aviso aos usuários e sugerir a ativação da mitigação System Level Error-Correcting Code para bloquear tais tentativas em memória GDDR6. No entanto, o GPUBreach leva a ameaça para o próximo nível, mostrando que é possível não apenas corromper dados, mas também obter privilégios de root com a IOMMU habilitada. Os pesquisadores exemplificaram os resultados com uma **GPU NVIDIA RTX A6000** com GDDR6. Este modelo é amplamente utilizado em cargas de trabalho de desenvolvimento e treinamento de IA. <div><figure><img src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" data-src="https://www.bleepstatic.com/images/news/u/1220909/2026/April/compare.jpg" width="661" height="366" alt="Comparação com outros ataques de GPU"><figcaption><strong>Comparação com outros ataques de GPU</strong><br><em>Fonte: Universidade de Toronto</em></figcaption></figure></div> ### Divulgação e mitigações Os pesquisadores da Universidade de Toronto relataram suas descobertas à NVIDIA, **Google**, **AWS** e **Microsoft** em 11 de novembro de 2025. O Google reconheceu o relatório e concedeu aos pesquisadores uma recompensa de $600 pelo bug. A NVIDIA declarou que pode atualizar seu aviso de segurança existente de julho de 2025 para incluir as possibilidades de ataque recém-descobertas. Como demonstrado pelos pesquisadores, a IOMMU sozinha é insuficiente se a memória controlada pela GPU puder corromper o estado do driver confiável, portanto, usuários em risco não devem depender apenas dessa medida de segurança. A memória com Código de Correção de Erros (**ECC**) ajuda a corrigir flips de um único bit e detectar flips de dois bits, mas não é confiável contra flips de múltiplos bits. Em última análise, os pesquisadores destacaram que o GPUBreach não tem mitigação para GPUs de consumidor sem ECC. Os pesquisadores publicarão os detalhes completos de seu trabalho, incluindo um artigo técnico e um repositório GitHub com o pacote de reprodução e scripts, em 13 de abril. A NVIDIA informou ao BleepingComputer que, para ambientes de clientes corporativos, eles recomendam habilitar o System Level Error-Correcting Codes para prevenir ataques do tipo Rowhammer. Isso está habilitado por padrão nas GPUs de classe Data Center Hopper e Blackwell.