Dasselbe Team hatte zuvor bereits GPUHammer demonstriert – den ersten Beleg dafür, dass Rowhammer-Angriffe auf GPUs praktisch durchführbar sind. NVIDIA reagierte damals mit einer Warnung an seine Nutzer und empfahl, die Schutzfunktion System Level Error-Correcting Code zu aktivieren, um solche Versuche auf GDDR6-Speicher zu blockieren.

GPUBreach hebt die Bedrohung nun auf eine neue Stufe: Die Forscher zeigen, dass sich nicht nur Daten verfälschen lassen, sondern bei aktivierter IOMMU auch Root-Rechte erlangt werden können. „GPUBreach zeigt, dass Rowhammer-Angriffe auf GPUs über die reine Datenverfälschung hinausgehen und zu echter Rechteausweitung führen können“, erklären die Forscher.

Durch das Verfälschen der GPU-Page-Tables erhalte ein unprivilegierter CUDA-Kernel beliebigen Lese- und Schreibzugriff auf den GPU-Speicher und könne diese Fähigkeit über neu entdeckte Speichersicherheitslücken im NVIDIA-Treiber zu einer Eskalation auf CPU-Seite verketten. Das Ergebnis sei eine systemweite Kompromittierung bis hin zur Root-Shell, ohne die IOMMU zu deaktivieren – anders als bei vergleichbaren Arbeiten, was GPUBreach zu einer ernsteren Bedrohung mache.

Als Beispiel diente eine NVIDIA RTX A6000 mit GDDR6-Speicher – ein Modell, das in der KI-Entwicklung und bei Trainings-Workloads weit verbreitet ist.

Die Forscher meldeten ihre Erkenntnisse am 11. November 2025 an NVIDIA, Google, AWS und Microsoft. Google bestätigte den Bericht und zahlte den Forschern eine Bug-Bounty-Prämie von 600 US-Dollar. NVIDIA erklärte, das bestehende Sicherheitshinweis-Dokument vom Juli 2025 möglicherweise um die neu entdeckten Angriffsmöglichkeiten zu ergänzen.

Wie die Demonstration zeigt, reicht die IOMMU allein nicht aus, wenn GPU-gesteuerter Speicher vertrauenswürdige Treiberzustände verfälschen kann. ECC-Speicher (Error Correcting Code) kann einzelne Bit-Flips korrigieren und doppelte erkennen, ist gegen Mehrfach-Bit-Flips jedoch nicht zuverlässig. Für Consumer-GPUs ohne ECC bleibt GPUBreach den Forschern zufolge vollständig ungemindert.

Die vollständigen Details ihrer Arbeit, darunter ein technisches Paper sowie ein GitHub-Repository mit Reproduktionspaket und Skripten, wollen die Forscher am 13. April veröffentlichen.