Browser-Sicherheit
Verwundarkeit in der 3D-Bibliothek WebGL
Die WebGL-Grafik-Bibliothek untergräbt laut eines Papiers der Sicherheitsfirma Context das Sicherheitskonzept fast aller modernen Browser. Mozillas Firefox, und Googles Chrome nutzen WebGL standardmäßig, bei Apples Safari und bei Opera ist es zuschaltbar. Microsoft hatte für den IE 9 über die Implementierung von WebGL nachgedacht.
WebGL, entwickelt von der Khronos Group in Zusammenarbeit mit der Mozilla Corporation, stellt eine lizenzfreie Bibliothek zur hardwarebeschleunigten Darstellung von 3D-Grafiken direkt im Browser dar. Dazu wird Code von einer Website direkt auf der Grafikkarte ausgeführt. HTML5 kann die Ergebnisse d...
WebGL, entwickelt von der Khronos Group in Zusammenarbeit mit der Mozilla Corporation, stellt eine lizenzfreie Bibliothek zur hardwarebeschleunigten Darstellung von 3D-Grafiken direkt im Browser dar. Dazu wird Code von einer Website direkt auf der Grafikkarte ausgeführt. HTML5 kann die Ergebnisse dann darstellen.
Wie die Firma Context in ihrem Firmenblog darlegt, kann dieser Mechanismus missbraucht werden, um Rechner lahmzulegen und zu übernehmen. Werden der GPU beispielsweise besonders komplexe 3D-Modelle verfüttert, kann ein Angreifer damit die GPU blockieren und einen Bluescreen provozieren. Das kann laut den Experten von Context dazu führen, dass eventuell vorhandene Sicherheitslücken im Grafikkartentreiber ausgenutzt werden können, um Schadcode in ein System einzubringen.
Das Problem kann jeder Nutzer auch anhand dieser kleinen Demo nachvollziehen. Die Experten bei Context und das amerikanische Sicherheitsteam US-CERT raten zur Deaktivierung von WebGL, da sie es derzeit noch nicht für reif für den Massenmarkt halten.
Die Entwickler der Khronos Group sind sich der Probleme, die sowohl in der Spezifikation als auch in der Implementierung von WebGL liegen, bewusst und erarbeiten Strategien zum Schliessen der Lücken. Eine davon ist GL_ARB_robustness, eine OpenGL-Erweiterung, die bereits von einigen Grafikkartenherstellern erprobt wird. Hiermit soll verhindert werden, das eventuell löchrige Grafiktreiber DDoS-Attacken und Buffer-Overflows zulassen. Es wird empfohlen, dass zukünftig Browser vor dem Benutzen von WebGL prüfen, ob diese Erweiterung vorhanden ist.
WebGL kann relativ einfach ausgeschaltet werden. Bei Firefox gibt man in der Adresszeile about:config ein, bestätigt die Belehrung und gibt in die Suchzeile webgl.disabled ein. Den aufgefundenen Eintrag setzt man dann von false auf true.
Bei Chrome kann man WebGL ausschalten, indem man auf die Verknüpfung am Desktop rechtsklickt und Eigenschaften auswählt. Hier ergänzt man im 2. Reiter den Ausdruck bei Ziel zu Chrome\Anwendung\chrome.exe" --disable.webgl.
