WebGL: Nová metoda útoků proti webovému prohlížeči

30. 6. 2011

Sdílet

WebGL je nový standard, který umožňuje zobrazovat ve webovém prohlížeči 3D grafiku. Technologii obsahuje ve výchozím nastavení Chrome a Firefox 4, podporu lze zapnout také v nejnovější verzi Safari.

Bezpečnostní experti společnosti ContextIS ale ukázali, že výsledkem může být nová kategorie zranitelností a zneužití. Na vině má být jak samotná specifikace WebGL, tak i konkrétní způsoby implementace této technologie. Útočníci mohou škodlivým kódem přes webový prohlížeč napadnout např. grafickou kartu nebo ovladače grafiky, což může způsobit např. nepoužitelnost počítače. Hlavní problém má být v tom, že pomocí WebGL se programy z Internetu dostanou k ovladačům grafiky a hardwaru, tedy na úroveň jádra (kernelu) operačního systému. To by měla být přitom nejchráněnější část celého systému.

Riziko je i v tom, že ovladače grafických karet dnes nejsou psány zrovna s důrazem ne bezpečnost (tu delegují na operační systém), prvořadý je výkon. V ovladačích grafiky tudíž existuje celá řada zranitelností. Útočníkovi nyní stačí pomocí WebGL podstrčit skript (s WebGL stránka pracuje pomocí JavaScriptu), který bude těchto chyb zneužívat. Z pohledu uživatele je jediné štěstí, že výsledkem bude nejspíše jen zhavarování počítače. Podle Jamese Fosrhawa ze společnosti ContextIS ale zranitelnosti ve WebGL mohou vést i ke vzdálenému spouštění dalších kódů a krádežím dat; dostatečně nepříjemná je i možná ztráta integrity systému (a stejně tak dat).

Ještě na vysvětlenou: webový prohlížeč jinak nemá přímý přístup k hadwaru počítače, např. bitmapa je předána k dalšímu zpracování operačnímu systému. U WebGL je toto změněno a operační systém se obejde, údajně proto, aby vykreslování složité geometrie mohlo probíhat dostatečně rychle.

 

ICTS24

Zdroj: HelpNet Security