Computers te hacken via WebGL in Firefox en Chrome
Gepubliceerd: Woensdag 11 mei 2011
Auteur: Uhro van der Pluijm
Met behulp van WebGL, de module waarmee Chrome en Firefox 3D weer kunnen geven, kunnen hackers inbreken op een computer. De Amerikaanse CERT raadt aan de module uit te schakelen.
Het Engelse beveiligingsbedrijf Context maakte gisteren bekend dat er een fundamenteel probleem zit in WebGL, de standaard die 3D-weergave in Chrome en Firefox zonder plug-ins mogelijk maakt. Door de manier waarop WebGL werkt zou het voor kwaadwillenden mogelijk zijn om zo in te breken op een computer.
Webapps krijgen toegang tot driver
Volgens onderzoeker James Forshaw van Context ontstaat de onveiligheid doordat webapplicaties toegang krijgen tot de drivers van de videokaart. Als er kwetsbaarheden in die driver zitten, kan de hacker een malafide webapplicatie gebruiken om direct in het binnenste van een systeem te raken.
Op die manier is het relatief eenvoudig mogelijk om de computer te laten crashen, programma's uit te voeren of privégegevens te stelen. Forshaw heeft een proof-of-concept ontwikkeld en acht het aannemelijk dat meer videokaartdrivers kwetsbaar zijn: "Die zijn niet ontwikkeld met beveiliging in het achterhoofd", stelt hij.
'Schakel WebGL uit'
"Gebaseerd op dit beperkte onderzoek, is Context van mening dat WebGL nog niet klaar is voor massagebruik", meent de Brit. "Daarom raden we aan dat gebruikers en IT-managers overwegen om WebGL in hun browsers uit te schakelen".
Het Britse beveiligingsbureau kreeg daarin bijval van het Amerikaanse Computer Emergency Readiness Team (US-CERT). De Amerikanen geven ook aan dat de standaard enkele grote beveiligingsproblemen bevat.
WebGL is in Chrome uit te schakelen door '-disable-webgl' achter het commando in bijvoorbeeld de snelkoppeling op de pc te plaatsen. In Firefox kan dat door about:config in de adresbalk in te voeren en de optie webgl.enabled_for_all_sites op false te zetten.
WebGL bagatelliseert problemen
De Khronos Group, die de WebGL-standaard onderhoudt bagatelliseert de problemen in een statement op haar website. Daar staat te lezen dat de grafische standaard standaard een extensie bezit, die "specifiek ontworpen is om denial of service- en out-of-range geheugenaanvallen vanuit WebGL te voorkomen".
Deze extensie moet echter wel ondersteund worden door de drivers van de videokaart en dat is nog niet altijd het geval. Khronos zegt goed samen te werken met de videokaartproducenten. De groep stelt dat de extensie nu al door veel fabrikanten wordt ondersteund en dat anderen snel zullen volgen. Khronos doet niet uit de doeken om welke fabrikanten het hier gaat.
In de toekomst zullen browsers volgens Khronos standaard eerst controleren of de extensie aanwezig is voor de WebGL-functie wordt ingeschakeld zodat een computer zeker beschermd is. Bovendien zouden videokaartmakers beter bewust worden van beveiliging van hun drivers door WebGL.
