Das Research-Team der Context Information Security, einer international agierenden Sicherheitsberatung, hat ernsthafte Sicherheitslücken in der im März vorgestellten, neuen WebGL-Technologie gefunden. Mit WebGL werden 3D-Grafiken im Browser so detailreich und schnell dargestellt, wie in lokal installierten Spielen oder Anwendungen. Da neben stationären Rechnern und Notebooks auch andere Geräte wie beispielsweise Smartphones das neue WebGL unterstützen, rechnen die Experten mit einer besonders schnellen Verbreitung und somit potenzierten Gefahrenquelle. Die Schwachstellen befinden sich auf der Design-Ebene. Laut Context haben Schadprogramme von verseuchten Web-Seiten über die Grafikkarte einen fast ungehinderten Zugang auf das eigene Endgerät. So entsteht eine Hintertür für Hacker: Alle Daten auf den mit dem Internet verbundenen Geräten sind potenziell gefährdet. Betroffen sind Computer und mobile Endgeräte, auf denen die Betriebssysteme Linux, OS X oder Windows laufen und welche die Browser Firefox 4, Safari oder Google Chrome nutzen.
„Die Risiken ergeben sich dadurch, dass die meisten Grafikkarten und Treiber nicht mit Hinblick auf ihre Sicherheit entwickelt wurden. So gehen die Programmierschnittstellen (API) davon aus, dass die Applikationen vertrauenswürdig sind“, erklärt Michael Jordon, Leiter Forschung und Entwicklung bei Context. „Während dies für lokale Anwendungen zutreffen mag, stellt die Nutzung von Browser-basierten Anwendungen mithilfe von WebGL und bestimmten Grafikkarten ein ernsthaftes Sicherheitsrisiko dar – vom Bruch der Cross Domain-Prinzipien bis hin zu Denial of Service-Attacken. Das Ergebnis: Der gesamte Computer ist potenziell gefährdet“.
Context macht jetzt breitflächig auf das Thema aufmerksam bevor sich die neue WebGL-Technologie groß verbreitet. Denn die Sicherheitsrisiken gehen nicht auf ein Problem bei der Implementierung zurück, sondern auf die Spezifikation von WebGL. „Kurzfristig können Nutzer oder IT-Abteilungen die potenzielle Gefährdung umgehen, indem sie WebGL in ihrem Browser deaktivieren. Langfristig aber sind die Entwickler der Technologie aufgerufen, die Spezifikation so zu gestalten und zu testen, dass entsprechende Risiken ausgeschlossen werden können“, so Jordon.
WebGL 1.0 ist offiziell im März diesen Jahres von der Khronos Group veröffentlicht worden, einem Non-Profit Konsortium bestehend aus Firmen wie Google, Apple, Intel und Mozilla. Ihr Ziel ist die Entwicklung von APIs mit offenem Standard zur Darstellung von digitalen, interaktiven Inhalten über alle Plattformen und Geräte hinweg. WebGL ist eine Bibliothek für Grafiken, welche die Funktionalität von JavaScript erweitert und ohne Plug-ins die Erstellung von 3D-Abbildungen innerhalb eines Browsers ermöglicht.
Weitere Informationen über die sicherheitsrelevanten Aspekte der neuen WebGL-Technologie veröffentlicht Context heute in seinem Blog. Dort werden neben Details zu den Sicherheitslücken auf der Design-Ebene von WebGL auch Beispiele zu deren Nachweis zu finden sein.
www.contextis.com/resources/blog/webgl/
Context Information Security ist eine unabhängige Beratungsfirma für Sicherheitsthemen. Die Spezialisierungen liegen sowohl im Bereich der technischen Sicherheit als auch bei Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausbauen können – zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute einige der weltweit führenden Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd.
Veronica Dunkerley
30 Marsh Wall
E14 9TP London
+44 (207) 537 7515
www.contextis.com/resources/blog/webgl/
blogs@contextis.com
Pressekontakt:
Press’n’Relations GmbH
Anne Zozo
Magirusstraße 33
89077 Ulm
az@press-n-relations.de
+49 731 962 87-31
http://www.press-n-relations.de