Skip to main content

WebGL slog på med hårdvarlig webbläsarsäkerhetsfel

WebGL-grafiktekniken som standard aktiverad i Firefox och Chrome utgör en allvarlig säkerhetsrisk och IT-chefer bör överväga att inaktivera den, en säkerhetsrådgivning har rekommenderat.

De brister som undersökts av konsultinformationen för kontextinformation i Storbritannien är allvarliga, säger företaget, för att tillåta en angripare att kompromissa den attackerade datorn via det dåligt försvarade grafikkortsskiktet, eller i alla fall krascha systemet för att göra det mer sårbart

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Företaget vägrade att erbjuda detaljer om de specifika sårbarheter som den hade experimenterat med men bekräftade att den hade kunnat utnyttja system u sjunga bevis-av-konceptattacker med vissa grafikkort på ett sätt - kärnläge - som bryter mot den säkraste ringen på ett operativsystem.

"Riskerna härrör från att de flesta grafikkort och drivrutiner har har inte skrivits med säkerhet i åtanke så att gränssnittet (API) de exponerar förutsätter att applikationerna är betroda, säger Context Research and Development Manager Michael Jordan.

"Även om detta kan vara sant för lokala applikationer, Användning av WebGL-aktiverade, webbläsarbaserade applikationer med vissa grafikkort utgör nu allvarliga hot från att bryta säkerhetsprincipen för tvärdomän till avslag på serviceattacker, vilket kan leda till full användning av användarens maskin, säger Jordan.

Den mest allvarliga av kontextens påståenden är att bristerna i WebGL är inneboende för sin arkitektur och därför är extremt svåra att fixa.

"På kort sikt kan enskilda slutanvändare eller IT-avdelningar undvika potentiella problem genom att helt enkelt inaktivera webben GL inom sina webbläsare; men den enda långsiktiga lösningen är för utvecklare av WebGL själv för att säkerställa att specifikationen är konstruerad och testad för att förhindra dessa typer av risker, säger Jordan. Företaget anser att WebGL inte var lämpligt för massupptagning.

WebGL har utvecklats som en offshoot av OpenGL-standarden för att göra det möjligt för 3D-grafik att göra inuti webbläsare med Javascript utan att behöva plug-ins. Det har stödts i Firefox från 4.x framåt som standard, i Google Chrome från 9.x framåt och kommer att köras i utvecklingsversioner av Safari på Mac eller PC. Windows, Mac OS X och Linux kan alla påverkas.

WebGL kommer dock inte att köras på ett okänt antal grafik kort, inklusive Intels integrerade grafik och de flesta ATI-chipset. Det enklaste sättet att ta reda på om en specifik kombination av kort / webbläsare stöds är att försöka köra WebGL-grafik med ett av ett antal offentliga projektsidor

med hjälp av en webbläsare som stöds eller försöker köra Contexts egna Demo-proof-of-concept-demo. Ett fel på dessa bör innebära att maskinen är säker om inte stöd läggs till vid ett senare tillfälle.

Avaktivera WebGL varierar från webbläsare till webbläsare men i Firefox ingår att ange ett önskat värde till "false" med hjälp av om: config kommando.