Sicherheitslücken in neuer WebGL-Technologie
10.05.2011
IT, NewMedia & Software
Das Research-Team der Context Information Security, einer international agierenden Sicherheitsberatung, hat ernsthafte Sicherheitslücken in der im März vorgestellten, neuen WebGL-Technologie gefunden. Mit WebGL werden 3D-Grafiken im Browser so detailreich und schnell dargestellt, wie in lokal installierten Spielen oder Anwendungen. Da neben stationären Rechnern und Notebooks auch andere Geräte wie beispielsweise Smartphones das neue WebGL unterstützen, rechnen die Experten mit einer besonders schnellen Verbreitung und somit potenzierten Gefahrenquelle. Die Schwachstellen befinden sich auf der Design-Ebene. Laut Context haben Schadprogramme von verseuchten Web-Seiten über die Grafikkarte einen fast ungehinderten Zugang auf das eigene Endgerät. So entsteht eine Hintertür für Hacker: Alle Daten auf den mit dem Internet verbundenen Geräten sind potenziell gefährdet. Betroffen sind Computer und mobile Endgeräte, auf denen die Betriebssysteme Linux, OS X oder Windows laufen und welche die Browser Firefox 4, Safari oder Google Chrome nutzen.
"Die Risiken ergeben sich dadurch, dass die meisten Grafikkarten und Treiber nicht mit Hinblick auf ihre Sicherheit entwickelt wurden. So gehen die Programmierschnittstellen (API) davon aus, dass die Applikationen vertrauenswürdig sind", erklärt Michael Jordon, Leiter Forschung und Entwicklung bei Context. "Während dies für lokale Anwendungen zutreffen mag, stellt die Nutzung von Browser-basierten Anwendungen mithilfe von WebGL und bestimmten Grafikkarten ein ernsthaftes Sicherheitsrisiko dar - vom Bruch der Cross Domain-Prinzipien bis hin zu Denial of Service-Attacken. Das Ergebnis: Der gesamte Computer ist potenziell gefährdet".
Context macht jetzt breitflächig auf das Thema aufmerksam bevor sich die neue WebGL-Technologie groß verbreitet. Denn die Sicherheitsrisiken gehen nicht auf ein Problem bei der Implementierung zurück, sondern auf die Spezifikation von WebGL. "Kurzfristig können Nutzer oder IT-Abteilungen die potenzielle Gefährdung umgehen, indem sie WebGL in ihrem Browser deaktivieren. Langfristig aber sind die Entwickler der Technologie aufgerufen, die Spezifikation so zu gestalten und zu testen, dass entsprechende Risiken ausgeschlossen werden können", so Jordon.
WebGL 1.0 ist offiziell im März diesen Jahres von der Khronos Group veröffentlicht worden, einem Non-Profit Konsortium bestehend aus Firmen wie Google, Apple, Intel und Mozilla. Ihr Ziel ist die Entwicklung von APIs mit offenem Standard zur Darstellung von digitalen, interaktiven Inhalten über alle Plattformen und Geräte hinweg. WebGL ist eine Bibliothek für Grafiken, welche die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht.
Weitere Informationen über die sicherheitsrelevanten Aspekte der neuen WebGL-Technologie veröffentlicht Context heute in seinem Blog. Dort werden neben Details zu den Sicherheitslücken auf der Design-Ebene von WebGL auch Beispiele zu deren Nachweis zu finden sein.
http://www.contextis.com/resources/blog/webgl/
http://www.contextis.com/resources/blog/webgl/
Context Information Security Ltd.
30 Marsh Wall E14 9TP London
Pressekontakt
http://www.press-n-relations.de
Press'n'Relations GmbH
Magirusstraße 33 89077 Ulm
Diese Pressemitteilung wurde über PR-Gateway veröffentlicht.
Für den Inhalt der Pressemeldung/News ist allein der Verfasser verantwortlich. Newsfenster.de distanziert sich ausdrücklich von den Inhalten Dritter und macht sich diese nicht zu eigen.
Weitere Artikel von Anne Zozo
26.11.2012 | Anne Zozo
RSNA 2012: Unfors RaySafe mit umfassendem Lösungspaket für die Röntgenkammer
RSNA 2012: Unfors RaySafe mit umfassendem Lösungspaket für die Röntgenkammer
11.10.2012 | Anne Zozo
BYOD: Context stellt Sicherheit von Tablet-PC"s in Frage
BYOD: Context stellt Sicherheit von Tablet-PC"s in Frage
17.09.2012 | Anne Zozo
Unfors RaySafe: Bewusstsein über unnötige Röntgenstrahlung weltweit noch zu gering
Unfors RaySafe: Bewusstsein über unnötige Röntgenstrahlung weltweit noch zu gering
26.07.2012 | Anne Zozo
Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung
Sicherheitslücken in der Serialisierungsfunktion beeinträchtigen .NET-Umgebung
10.07.2012 | Anne Zozo
Weiter konsequentes Wachstum: Noerpel übernimmt Kentner
Weiter konsequentes Wachstum: Noerpel übernimmt Kentner
Weitere Artikel in dieser Kategorie
28.05.2024 | Varonis Systems
Varonis bietet ab sofort Managed Data Detection and Response (MDDR)
Varonis bietet ab sofort Managed Data Detection and Response (MDDR)
28.05.2024 | Bugcrowd
Crowdsourced-Security-Anbieter Bugcrowd erwirbt Informer
Crowdsourced-Security-Anbieter Bugcrowd erwirbt Informer
27.05.2024 | TL Electronic GmbH
Kosteneffiziente All-in-one-Lösung für Vehicle Mount Computer im industriellen Umfeld
Kosteneffiziente All-in-one-Lösung für Vehicle Mount Computer im industriellen Umfeld
27.05.2024 | digital ZEIT GmbH
Jubiläum digital ZEIT: 40 Jahre im Dienst der Zeit
Jubiläum digital ZEIT: 40 Jahre im Dienst der Zeit
27.05.2024 | DUALIS GmbH IT Solution
DUALIS und Center Integrated Business Applications setzen Forschungsprojekt um
DUALIS und Center Integrated Business Applications setzen Forschungsprojekt um