Skip to main content

WebGL getroffen door moeilijk te herstellen browserbeveiliging Fout

De tekortkomingen onderzocht door het Britse consultancybureau Context Information Security zijn volgens het bedrijf ernstig genoeg om een ​​aanvaller in staat te stellen de aangevallen pc binnen te dringen via de slecht verdedigde grafische kaartlaag, of op zijn minst het systeem te laten crashen om het kwetsbaarder te maken naar exploits.

[Meer informatie: Hoe verwijder je malware van je Windows-pc]

Het bedrijf weigerde details te bieden over de specifieke kwetsbaarheden waarmee het experimenteerde, maar bevestigde dat het in staat was om systemen te exploiteren zing proof-of-concept-aanvallen met bepaalde grafische kaarten op een manier - kernelmodus - die inbreuk maakte op de veiligste ring van een besturingssysteem.

"De risico's vloeien voort uit het feit dat de meeste grafische kaarten en stuurprogramma's niet geschreven met beveiliging in het achterhoofd, zodat de interface (API) die ze blootstellen ervan uitgaat dat de applicaties vertrouwd zijn ", zegt Context Research and Development Manager Michael Jordan.

" Hoewel dit misschien waar is voor lokale applicaties, is de Het gebruik van WebGL-enabled, browsergebaseerde applicaties met bepaalde grafische kaarten vormt nu serieuze bedreigingen van het doorbreken van het beveiligingsprincipe tussen domeinen naar denial of service-aanvallen, wat mogelijk leidt tot volledige exploitatie van de machine van een gebruiker, "zei Jordan.

De grootste claim van Context is dat de fouten in WebGL inherent zijn aan zijn architectuur en daarom uiterst moeilijk te repareren zijn.

"Op de korte termijn kunnen individuele eindgebruikers of IT-afdelingen potentiële problemen voorkomen door simpelweg Web uit te schakelen GL in hun browsers; maar de enige oplossing voor de lange termijn is dat de ontwikkelaars van WebGL zelf ervoor zorgen dat de specificatie is ontworpen en getest om dit soort risico's te voorkomen, "zei Jordan, die van mening was dat WebGL niet geschikt was voor massale acceptatie.

WebGL is ontwikkeld als een uitloper van de OpenGL-standaard om 3D-afbeeldingen in Javascript door browsergebruikers te laten weergeven zonder plug-ins. Het is standaard ondersteund in Firefox vanaf versie 4.x, in Google Chrome vanaf 9.x verder, en wordt uitgevoerd in ontwikkelversies van Safari op Mac of pc. Windows, Mac OS X en Linux kunnen allemaal worden getroffen.

WebGL werkt echter niet betrouwbaar op een onbekend aantal afbeeldingen kaarten, inclusief de geïntegreerde grafische kaart van Intel en de meeste ATI-chipsets. De eenvoudigste manier om uit te zoeken of een specifieke kaart / browser-combinatie wordt ondersteund, is proberen WebGL-afbeeldingen uit te voeren met behulp van een aantal openbare projectpagina's

met behulp van een ondersteunde browser of probeert Context's eigen uit te voeren proof-of-concept demo. Als deze niet werken, betekent dit dat de machine veilig is, tenzij de ondersteuning op een later tijdstip wordt toegevoegd.

Het uitschakelen van WebGL verschilt van browser tot browser, maar in Firefox houdt het instellen van een vereiste waarde in op "false" met behulp van about: config commando.