Context weist auf zusätzliche Security-Probleme hin
Das Research-Team der Context Information Security, das bereits im letzten Monat Sicherheitsmängel in WebGL aufgezeigt hat, äußert weitere Bedenken. Im Fokus steht der vorzeitige Einsatz der neuen Technologie, die die detailreiche und rasche Darstellung von 3D-Grafiken auf Webseiten für ein eindrucksvolles Bilderlebnis erlauben. So ermöglicht beispielsweise eine Sicherheitslücke im Browser Mozilla Firefox, dass schädliche Webseiten Screenshots von jedem anvisierten PC erstellen können. Dies betrifft sowohl den Desktop selbst als auch andere aufgerufene Webseiten und verwendete Applikationen. Da keine der gegenwärtig eingesetzen Anwendungen die Konformitäts-Anforderungen von WebGL erfüllt, stellt Context diesbezüglich auch ernste Fragen an Khronos, das Konsortium, das für die WebGL-Spezifikation sowie die Konformitätstests verantwortlich ist.
Die ursprünglichen Nachforschungen von Context brachten Sicherheitsrisiken auf dem Design-Level ans Tageslicht: WebGL öffnet über Grafikkarten eine „Hintertür“ in niedrige Ebenen des Betriebssystems. Bei weiteren Untersuchungen deckte Context auf, dass weder Chrome noch Firefox die 144 Konformitätstests von Khronos für WebGL bestanden hatten, einschließlich jener mit direktem Security-Bezug.
„Zwar hat Mozilla Maßnahmen ergriffen, um die ursprünglichen Sicherheitsrisiken zu beseitigen, und auch die jüngsten Lücken sollen in der neuen, für 21. Juni angekündigten Browserversion repariert sein. Dennoch glauben wir, dass das nur die Spitze des Eisbergs von schwierigen Anpassungen einer unausgereiften Technologie ist, die die Benutzer schutzlos zurück lässt“, sagt Michael Jordon, Research and Development Manager bei Context. „Security-bezogene Konformitätstests wurden von Khronos nicht klar identifiziert. Das hat zur Folge, dass Entwickler diese Sicherheitsprobleme bei der Implementierung von WebGL in die Browser nicht berücksichtigt haben“, ergänzt Jordon. „Es wäre unangemessen, volle Konformität von jedem neuen Standard zur kompletten Spezifikation zu erwarten, aber einige Bereiche von WebGL müssen sorgfältig integriert werden, um Sicherheitslücken zu vermeiden. Browser-Entwickler sollten erkannte, nicht-konforme Konfigurationen ausschließen, bis die aufgezeigten Sicherheitsprobleme gelöst sind.“
Darüber hinaus hat das Research-Team von Context einen weiteren gravierenden Mangel ausfindig gemacht: Die von Khronos empfohlene Verteidigung gegen Denial of Service-Attacken, WebGL_ARB_robustness, erfüllt ihren Zweck nicht. So wird die Anwendung ausschließlich von bestimmten Chipsätzen und Betriebssystemen, wie NVidia unter Windows and Linux unterstützt. Die Erweiterung bietet nur eine Einschränkung, aber keine umfassende Abwehr von WebGL-DoS-Gefahren.
Grundsätzlich hängen die Risiken durch WebGL vom verwendeten Webbrowser, vom Betriebssystem und von der Grafikkarte ab. WebGL wird zur Zeit nur von Firefox and Chrome unterstützt, Benutzer von Internet Explorer, Safari oder Opera haben keine Schäden durch WebGL zu befürchten. „Wir raten betroffenen Benutzern, WebGL abzuschalten, bis die Security-Probleme behoben sind“, so Jordon. „Außerdem arbeiten wir mit Entwicklern des Firefox-Plug-ins NoScript (http://noscript.net/) zusammen, um eine Unterstützung für die selektive Abschaltung von WebGL zu inkludieren. Dieses Plug-in empfehlen wir, um User vor schädlichen Inhalten aus dem Internet zu schützen.“
Der vollständige Context-Blog, sowie zwei Videos sind abrufbar unter: http://www.contextis.com/webgl
Context Information Security ist eine unabhängige Beratungsfirma für Sicherheitsthemen. Die Spezialisierungen liegen sowohl im Bereich der technischen Sicherheit als auch bei Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausbauen können – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute einige der weltweit führenden Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Kontakt:
Context Information Security Ltd.
Veronica Dunkerley
30 Marsh Wall
E14 9TP London
+44 (207) 537 7515
www.contextis.com/resources/blog/webgl/
blogs@contextis.com
Pressekontakt:
Press’n’Relations GmbH
Anne Zozo
Magirusstraße 33
89077 Ulm
az@press-n-relations.de
+49 731 962 87-31
http://www.press-n-relations.de