Browser-Sicherheit

Verwundarkeit in der 3D-Bibliothek WebGL

Die WebGL-Grafik-Bibliothek untergräbt laut eines Papiers der Sicherheitsfirma Context das Sicherheitskonzept fast aller modernen Browser. Mozillas Firefox, und Googles Chrome nutzen WebGL standardmäßig, bei Apples Safari und bei Opera ist es zuschaltbar. Microsoft hatte für den IE 9 über die Implementierung von WebGL nachgedacht.

WebGL

© khronos group

WebGL

WebGL, entwickelt von der Khronos Group in Zusammenarbeit mit der Mozilla Corporation, stellt eine lizenzfreie Bibliothek zur hardwarebeschleunigten Darstellung von 3D-Grafiken direkt im Browser dar. Dazu wird Code von einer Website direkt auf der Grafikkarte ausgeführt. HTML5 kann die Ergebnisse dann darstellen.

Wie die Firma Context in ihrem Firmenblog darlegt, kann dieser Mechanismus missbraucht werden, um Rechner lahmzulegen und zu übernehmen. Werden der GPU beispielsweise besonders komplexe 3D-Modelle verfüttert, kann ein Angreifer damit die GPU blockieren und einen Bluescreen provozieren. Das kann laut den Experten von Context dazu führen, dass eventuell vorhandene Sicherheitslücken im Grafikkartentreiber ausgenutzt werden können, um Schadcode in ein System einzubringen.

Das Problem kann jeder Nutzer auch anhand dieser kleinen Demo nachvollziehen. Die Experten bei Context und das amerikanische Sicherheitsteam US-CERT raten zur Deaktivierung von WebGL, da sie es derzeit noch nicht für reif für den Massenmarkt halten.

Die Entwickler der Khronos Group sind sich der Probleme, die sowohl in der Spezifikation als auch in der Implementierung von WebGL liegen, bewusst und erarbeiten Strategien zum Schliessen der Lücken. Eine davon ist GL_ARB_robustness, eine OpenGL-Erweiterung, die bereits von einigen Grafikkartenherstellern erprobt wird. Hiermit soll verhindert werden, das eventuell löchrige Grafiktreiber DDoS-Attacken und Buffer-Overflows zulassen. Es wird empfohlen, dass zukünftig Browser vor dem Benutzen von WebGL prüfen, ob diese Erweiterung vorhanden ist.

WebGL kann relativ einfach ausgeschaltet werden. Bei Firefox gibt man in der Adresszeile about:config ein, bestätigt die Belehrung und gibt in die Suchzeile webgl.disabled ein. Den aufgefundenen Eintrag setzt man dann von false auf true.

Bei Chrome kann man WebGL ausschalten, indem man auf die Verknüpfung am Desktop rechtsklickt und Eigenschaften auswählt. Hier ergänzt man im 2. Reiter den Ausdruck bei Ziel  zu Chrome\Anwendung\chrome.exe" --disable.webgl.

WebGL Exploit

© context

Per WebGL kann, bei löchrigem Grafikkartentreiber, Schadcode ins System gelangen

Mehr zum Thema

Symbolbild für Internet-Sicherheit und Spionage
Nach Hacking-Team-Enthüllungen

Kritisches Flash Player Update als Download: Nach den Hacking-Team-Enthüllungen werden die aufgedeckten Sicherheitslücken bereits ausgenutzt.
Flash-Lücke entdeckt
Hacking Team Leak

Der Hackerangriff auf die italienische IT-Firma Hacking Team bringt weitere schwere Sicherheitslücken in Adobe Flash ans Tageslicht.
Firefox - Flash Player Block
Mozilla und Facebook reagieren auf neue Exploits

Mozilla reagiert auf die jüngst aufgedeckten Zero-Day-Lücken in Adobes Flash Player. Im Browser Firefox wird das Flash-Plugin vorerst per…
Spam-Mails
Betrug per E-Mail

Eine vermeintliche E-Mail von Amazon führt zur Katastrophe: Ein Video zeigt, wie schnell unachtsame Internet-Nutzer Phishing-Mails zum Opfer fallen…
E-Mails am PC: nicht immer sicher!
"Ihre Aktion ist erforderlich"

Eine vermeintliche E-Mail von Paypal (Betreff: "Ihre Aktion ist erforderlich") wegen der SEPA-Umstellung ist ein Phishing-Angriff. Vorsicht!