Context Information Security kritisiert Sicherheit von WebGL

Die Sicherheitsforscher von Context Information Security warnen in ihrem Blog vor ernsthaften Sicherheitslücken in der im März vorgestellten Browsertechnik WebGL. Diese dient dem Rendering von 3D-Grafiken aus dem Web. Betroffen könnten Context zufolge nicht nur stationäre Rechner und Notebooks, sondern etwa auch Smartphones sein, die WebGL unterstützen. Allerdings gibt es derzeit keine WebGL-fähigen Smartphone-Browser.

Die Schwachstellen befinden sich auf der Design-Ebene. Laut Context haben Schadprogramme über die Grafikkarte einen fast ungehinderten Zugang auf das betroffene Endgerät. Es entstehe eine Hintertür für Hacker: Alle Daten auf den mit dem Internet verbundenen Geräten seien potenziell gefährdet. Betroffen seien Systeme mit den Browsern Firefox 4, Safari oder Google Chrome. Somit kommen nur die Betriebssysteme Linux, Mac OS X und Windows in Betracht.

„Die Risiken ergeben sich dadurch, dass die meisten Grafikkarten und Treiber nicht mit Hinblick auf ihre Sicherheit entwickelt wurden. So gehen die Programmierschnittstellen (APIs) davon aus, dass die Applikationen vertrauenswürdig sind“, erklärt Michael Jordon, Leiter Forschung und Entwicklung bei Context. „Während dies für lokale Anwendungen zutreffen mag, stellt die Nutzung von browserbasierten Anwendungen mithilfe von WebGL und bestimmten Grafikkarten ein ernsthaftes Sicherheitsrisiko dar – vom Bruch der Cross-Domain-Prinzipien bis hin zu Denial-of-Service-Attacken. Das Ergebnis: Der gesamte Computer ist potenziell gefährdet.“

Context macht nach eigener Aussage jetzt auf das Thema aufmerksam, bevor sich WebGL im großen Stil verbreitet. Denn die Sicherheitsrisiken gehen seiner Meinung nach nicht auf ein Problem bei der Implementierung zurück, sondern auf die Spezifikation von WebGL. „Kurzfristig können Nutzer oder IT-Abteilungen die potenzielle Gefährdung umgehen, indem sie WebGL in ihrem Browser deaktivieren. Langfristig aber sind die Entwickler der Technologie aufgerufen, die Spezifikation so zu gestalten und zu testen, dass Risiken ausgeschlossen werden können“, sagt Jordon.

WebGL 1.0 hat die Khronos Group im März dieses Jahres veröffentlicht. Khronos ist ein Non-Profit-Konsortium aus Firmen wie Google, Apple, Intel oder Mozilla. WebGL ist eine Bibliothek für Grafiken, die die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht.


Schema eines möglichen Angriffs auf WebGL (Bild: Context IS)

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago