Noch mehr Sicherheitslücken bei WebGL-Technologie
Context weist auf zusätzliche Security-Probleme hin
Die ursprünglichen Nachforschungen von Context brachten Sicherheitsrisiken auf dem Design-Level ans Tageslicht: WebGL öffnet über Grafikkarten eine "Hintertür" in niedrige Ebenen des Betriebssystems. Bei weiteren Untersuchungen deckte Context auf, dass weder Chrome noch Firefox die 144 Konformitätstests von Khronos für WebGL bestanden hatten, einschließlich jener mit direktem Security-Bezug.
"Zwar hat Mozilla Maßnahmen ergriffen, um die ursprünglichen Sicherheitsrisiken zu beseitigen, und auch die jüngsten Lücken sollen in der neuen, für 21. Juni angekündigten Browserversion repariert sein. Dennoch glauben wir, dass das nur die Spitze des Eisbergs von schwierigen Anpassungen einer unausgereiften Technologie ist, die die Benutzer schutzlos zurück lässt", sagt Michael Jordon, Research and Development Manager bei Context. "Security-bezogene Konformitätstests wurden von Khronos nicht klar identifiziert. Das hat zur Folge, dass Entwickler diese Sicherheitsprobleme bei der Implementierung von WebGL in die Browser nicht berücksichtigt haben", ergänzt Jordon. "Es wäre unangemessen, volle Konformität von jedem neuen Standard zur kompletten Spezifikation zu erwarten, aber einige Bereiche von WebGL müssen sorgfältig integriert werden, um Sicherheitslücken zu vermeiden. Browser-Entwickler sollten erkannte, nicht-konforme Konfigurationen ausschließen, bis die aufgezeigten Sicherheitsprobleme gelöst sind."
Darüber hinaus hat das Research-Team von Context einen weiteren gravierenden Mangel ausfindig gemacht: Die von Khronos empfohlene Verteidigung gegen Denial of Service-Attacken, WebGL_ARB_robustness, erfüllt ihren Zweck nicht. So wird die Anwendung ausschließlich von bestimmten Chipsätzen und Betriebssystemen, wie NVidia unter Windows and Linux unterstützt. Die Erweiterung bietet nur eine Einschränkung, aber keine umfassende Abwehr von WebGL-DoS-Gefahren.
Grundsätzlich hängen die Risiken durch WebGL vom verwendeten Webbrowser, vom Betriebssystem und von der Grafikkarte ab. WebGL wird zur Zeit nur von Firefox and Chrome unterstützt, Benutzer von Internet Explorer, Safari oder Opera haben keine Schäden durch WebGL zu befürchten. "Wir raten betroffenen Benutzern, WebGL abzuschalten, bis die Security-Probleme behoben sind", so Jordon. "Außerdem arbeiten wir mit Entwicklern des Firefox-Plug-ins NoScript (http://noscript.net/) zusammen, um eine Unterstützung für die selektive Abschaltung von WebGL zu inkludieren. Dieses Plug-in empfehlen wir, um User vor schädlichen Inhalten aus dem Internet zu schützen."
Der vollständige Context-Blog, sowie zwei Videos sind abrufbar unter: http://www.contextis.com/webgl
Weitere Infos zu dieser Pressemeldung:
Themen in dieser Pressemitteilung:
Unternehmensinformation / Kurzprofil:
Context Information Security ist eine unabhängige Beratungsfirma für Sicherheitsthemen. Die Spezialisierungen liegen sowohl im Bereich der technischen Sicherheit als auch bei Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausbauen können - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute einige der weltweit führenden Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Press'n'Relations GmbH
Anne Zozo
Magirusstraße 33
89077 Ulm
az(at)press-n-relations.de
+49 731 962 87-31
http://www.press-n-relations.de
Datum: 17.06.2011 - 14:00 Uhr
Sprache: Deutsch
News-ID 426406
Anzahl Zeichen: 3635
Kontakt-Informationen:
Ansprechpartner: Veronica Dunkerley
Stadt:
London
Telefon: +44 (207) 537 7515
Kategorie:
Dienstleistung
Meldungsart:
Anmerkungen:
Diese Pressemitteilung wurde bisher 270 mal aufgerufen.
Die Pressemitteilung mit dem Titel:
"Noch mehr Sicherheitslücken bei WebGL-Technologie"
steht unter der journalistisch-redaktionellen Verantwortung von
Context Information Security Ltd. (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).
