Noch mehr Sicherheitslücken bei WebGL-Technologie

(openPR) Context weist auf zusätzliche Security-Probleme hin

Das Research-Team der Context Information Security, das bereits im letzten Monat Sicherheitsmängel in WebGL aufgezeigt hat, äußert weitere Bedenken. Im Fokus steht der vorzeitige Einsatz der neuen Technologie, die die detailreiche und rasche Darstellung von 3D-Grafiken auf Webseiten für ein eindrucksvolles Bilderlebnis erlauben. So ermöglicht beispielsweise eine Sicherheitslücke im Browser Mozilla Firefox, dass schädliche Webseiten Screenshots von jedem anvisierten PC erstellen können. Dies betrifft sowohl den Desktop selbst als auch andere aufgerufene Webseiten und verwendete Applikationen. Da keine der gegenwärtig eingesetzen Anwendungen die Konformitäts-Anforderungen von WebGL erfüllt, stellt Context diesbezüglich auch ernste Fragen an Khronos, das Konsortium, das für die WebGL-Spezifikation sowie die Konformitätstests verantwortlich ist.

Die ursprünglichen Nachforschungen von Context brachten Sicherheitsrisiken auf dem Design-Level ans Tageslicht: WebGL öffnet über Grafikkarten eine “Hintertür” in niedrige Ebenen des Betriebssystems. Bei weiteren Untersuchungen deckte Context auf, dass weder Chrome noch Firefox die 144 Konformitätstests von Khronos für WebGL bestanden hatten, einschließlich jener mit direktem Security-Bezug.

„Zwar hat Mozilla Maßnahmen ergriffen, um die ursprünglichen Sicherheitsrisiken zu beseitigen, und auch die jüngsten Lücken sollen in der neuen, für 21. Juni angekündigten Browserversion repariert sein. Dennoch glauben wir, dass das nur die Spitze des Eisbergs von schwierigen Anpassungen einer unausgereiften Technologie ist, die die Benutzer schutzlos zurück lässt”, sagt Michael Jordon, Research and Development Manager bei Context. „Security-bezogene Konformitätstests wurden von Khronos nicht klar identifiziert. Das hat zur Folge, dass Entwickler diese Sicherheitsprobleme bei der Implementierung von WebGL in die Browser nicht berücksichtigt haben”, ergänzt Jordon. „Es wäre unangemessen, volle Konformität von jedem neuen Standard zur kompletten Spezifikation zu erwarten, aber einige Bereiche von WebGL müssen sorgfältig integriert werden, um Sicherheitslücken zu vermeiden. Browser-Entwickler sollten erkannte, nicht-konforme Konfigurationen ausschließen, bis die aufgezeigten Sicherheitsprobleme gelöst sind.”

Darüber hinaus hat das Research-Team von Context einen weiteren gravierenden Mangel ausfindig gemacht: Die von Khronos empfohlene Verteidigung gegen Denial of Service-Attacken, WebGL_ARB_robustness, erfüllt ihren Zweck nicht. So wird die Anwendung ausschließlich von bestimmten Chipsätzen und Betriebssystemen, wie NVidia unter Windows and Linux unterstützt. Die Erweiterung bietet nur eine Einschränkung, aber keine umfassende Abwehr von WebGL-DoS-Gefahren.

Grundsätzlich hängen die Risiken durch WebGL vom verwendeten Webbrowser, vom Betriebssystem und von der Grafikkarte ab. WebGL wird zur Zeit nur von Firefox and Chrome unterstützt, Benutzer von Internet Explorer, Safari oder Opera haben keine Schäden durch WebGL zu befürchten. „Wir raten betroffenen Benutzern, WebGL abzuschalten, bis die Security-Probleme behoben sind”, so Jordon. “Außerdem arbeiten wir mit Entwicklern des Firefox-Plug-ins NoScript (http://noscript.net/) zusammen, um eine Unterstützung für die selektive Abschaltung von WebGL zu inkludieren. Dieses Plug-in empfehlen wir, um User vor schädlichen Inhalten aus dem Internet zu schützen.”

Der vollständige Context-Blog, sowie zwei Videos sind abrufbar unter: http://www.contextis.com/webgl