Die Sicherheitsforscher von Context Information Security warnen in ihrem Blog vor ernsthaften Sicherheitslücken in der im März vorgestellten Browsertechnik WebGL. Diese dient dem Rendering von 3D-Grafiken aus dem Web. Betroffen könnten Context zufolge nicht nur stationäre Rechner und Notebooks, sondern etwa auch Smartphones sein, die WebGL unterstützen. Allerdings gibt es derzeit keine WebGL-fähigen Smartphone-Browser.
Die Schwachstellen befinden sich auf der Design-Ebene. Laut Context haben Schadprogramme über die Grafikkarte einen fast ungehinderten Zugang auf das betroffene Endgerät. Es entstehe eine Hintertür für Hacker: Alle Daten auf den mit dem Internet verbundenen Geräten seien potenziell gefährdet. Betroffen seien Systeme mit den Browsern Firefox 4, Safari oder Google Chrome. Somit kommen nur die Betriebssysteme Linux, Mac OS X und Windows in Betracht.
„Die Risiken ergeben sich dadurch, dass die meisten Grafikkarten und Treiber nicht mit Hinblick auf ihre Sicherheit entwickelt wurden. So gehen die Programmierschnittstellen (APIs) davon aus, dass die Applikationen vertrauenswürdig sind“, erklärt Michael Jordon, Leiter Forschung und Entwicklung bei Context. „Während dies für lokale Anwendungen zutreffen mag, stellt die Nutzung von browserbasierten Anwendungen mithilfe von WebGL und bestimmten Grafikkarten ein ernsthaftes Sicherheitsrisiko dar – vom Bruch der Cross-Domain-Prinzipien bis hin zu Denial-of-Service-Attacken. Das Ergebnis: Der gesamte Computer ist potenziell gefährdet.“
Context macht nach eigener Aussage jetzt auf das Thema aufmerksam, bevor sich WebGL im großen Stil verbreitet. Denn die Sicherheitsrisiken gehen seiner Meinung nach nicht auf ein Problem bei der Implementierung zurück, sondern auf die Spezifikation von WebGL. „Kurzfristig können Nutzer oder IT-Abteilungen die potenzielle Gefährdung umgehen, indem sie WebGL in ihrem Browser deaktivieren. Langfristig aber sind die Entwickler der Technologie aufgerufen, die Spezifikation so zu gestalten und zu testen, dass Risiken ausgeschlossen werden können“, sagt Jordon.
WebGL 1.0 hat die Khronos Group im März dieses Jahres veröffentlicht. Khronos ist ein Non-Profit-Konsortium aus Firmen wie Google, Apple, Intel oder Mozilla. WebGL ist eine Bibliothek für Grafiken, die die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht.
Schema eines möglichen Angriffs auf WebGL (Bild: Context IS)
Neueste Kommentare
Noch keine Kommentare zu Context Information Security kritisiert Sicherheit von WebGL
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.