Die Sicherheitsforscher von Context Information Security warnen in ihrem Blog vor ernsthaften Sicherheitslücken in der im März vorgestellten Browsertechnik WebGL. Diese dient dem Rendering von 3D-Grafiken aus dem Web. Betroffen könnten Context zufolge nicht nur stationäre Rechner und Notebooks, sondern etwa auch Smartphones sein, die WebGL unterstützen. Allerdings gibt es derzeit keine WebGL-fähigen Smartphone-Browser.
Die Schwachstellen befinden sich auf der Design-Ebene. Laut Context haben Schadprogramme über die Grafikkarte einen fast ungehinderten Zugang auf das betroffene Endgerät. Es entstehe eine Hintertür für Hacker: Alle Daten auf den mit dem Internet verbundenen Geräten seien potenziell gefährdet. Betroffen seien Systeme mit den Browsern Firefox 4, Safari oder Google Chrome. Somit kommen nur die Betriebssysteme Linux, Mac OS X und Windows in Betracht.
„Die Risiken ergeben sich dadurch, dass die meisten Grafikkarten und Treiber nicht mit Hinblick auf ihre Sicherheit entwickelt wurden. So gehen die Programmierschnittstellen (APIs) davon aus, dass die Applikationen vertrauenswürdig sind“, erklärt Michael Jordon, Leiter Forschung und Entwicklung bei Context. „Während dies für lokale Anwendungen zutreffen mag, stellt die Nutzung von browserbasierten Anwendungen mithilfe von WebGL und bestimmten Grafikkarten ein ernsthaftes Sicherheitsrisiko dar – vom Bruch der Cross-Domain-Prinzipien bis hin zu Denial-of-Service-Attacken. Das Ergebnis: Der gesamte Computer ist potenziell gefährdet.“
Context macht nach eigener Aussage jetzt auf das Thema aufmerksam, bevor sich WebGL im großen Stil verbreitet. Denn die Sicherheitsrisiken gehen seiner Meinung nach nicht auf ein Problem bei der Implementierung zurück, sondern auf die Spezifikation von WebGL. „Kurzfristig können Nutzer oder IT-Abteilungen die potenzielle Gefährdung umgehen, indem sie WebGL in ihrem Browser deaktivieren. Langfristig aber sind die Entwickler der Technologie aufgerufen, die Spezifikation so zu gestalten und zu testen, dass Risiken ausgeschlossen werden können“, sagt Jordon.
WebGL 1.0 hat die Khronos Group im März dieses Jahres veröffentlicht. Khronos ist ein Non-Profit-Konsortium aus Firmen wie Google, Apple, Intel oder Mozilla. WebGL ist eine Bibliothek für Grafiken, die die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht.
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.