Context weist auf zusätzliche Security-Probleme hin
Das Research-Team der Context Information Security, das bereits im letzten Monat Sicherheitsmängel in WebGL aufgezeigt hat, äußert weitere Bedenken. Im Fokus steht der vorzeitige Einsatz der neuen Technologie, die die detailreiche und rasche Darstellung von 3D-Grafiken auf Webseiten für ein eindrucksvolles Bilderlebnis erlauben. So ermöglicht beispielsweise eine Sicherheitslücke im Browser Mozilla Firefox, dass schädliche Webseiten Screenshots von jedem anvisierten PC erstellen können. Dies betrifft sowohl den Desktop selbst als auch andere aufgerufene Webseiten und verwendete Applikationen. Da keine der gegenwärtig eingesetzen Anwendungen die Konformitäts-Anforderungen von WebGL erfüllt, stellt Context diesbezüglich auch ernste Fragen an Khronos, das Konsortium, das für die WebGL-Spezifikation sowie die Konformitätstests verantwortlich ist.
Die ursprünglichen Nachforschungen von Context brachten Sicherheitsrisiken auf dem Design-Level ans Tageslicht: WebGL öffnet über Grafikkarten eine "Hintertür" in niedrige Ebenen des Betriebssystems. Bei weiteren Untersuchungen deckte Context auf, dass weder Chrome noch Firefox die 144 Konformitätstests von Khronos für WebGL bestanden hatten, einschließlich jener mit direktem Security-Bezug.
"Zwar hat Mozilla Maßnahmen ergriffen, um die ursprünglichen Sicherheitsrisiken zu beseitigen, und auch die jüngsten Lücken sollen in der neuen, für 21. Juni angekündigten Browserversion repariert sein. Dennoch glauben wir, dass das nur die Spitze des Eisbergs von schwierigen Anpassungen einer unausgereiften Technologie ist, die die Benutzer schutzlos zurück lässt", sagt Michael Jordon, Research and Development Manager bei Context. "Security-bezogene Konformitätstests wurden von Khronos nicht klar identifiziert. Das hat zur Folge, dass Entwickler diese Sicherheitsprobleme bei der Implementierung von WebGL in die Browser nicht berücksichtigt haben", ergänzt Jordon. "Es wäre unangemessen, volle Konformität von jedem neuen Standard zur kompletten Spezifikation zu erwarten, aber einige Bereiche von WebGL müssen sorgfältig integriert werden, um Sicherheitslücken zu vermeiden. Browser-Entwickler sollten erkannte, nicht-konforme Konfigurationen ausschließen, bis die aufgezeigten Sicherheitsprobleme gelöst sind."
Darüber hinaus hat das Research-Team von Context einen weiteren gravierenden Mangel ausfindig gemacht: Die von Khronos empfohlene Verteidigung gegen Denial of Service-Attacken, WebGL_ARB_robustness, erfüllt ihren Zweck nicht. So wird die Anwendung ausschließlich von bestimmten Chipsätzen und Betriebssystemen, wie NVidia unter Windows and Linux unterstützt. Die Erweiterung bietet nur eine Einschränkung, aber keine umfassende Abwehr von WebGL-DoS-Gefahren.
Grundsätzlich hängen die Risiken durch WebGL vom verwendeten Webbrowser, vom Betriebssystem und von der Grafikkarte ab. WebGL wird zur Zeit nur von Firefox and Chrome unterstützt, Benutzer von Internet Explorer, Safari oder Opera haben keine Schäden durch WebGL zu befürchten. "Wir raten betroffenen Benutzern, WebGL abzuschalten, bis die Security-Probleme behoben sind", so Jordon. "Außerdem arbeiten wir mit Entwicklern des Firefox-Plug-ins NoScript (http://noscript.net/) zusammen, um eine Unterstützung für die selektive Abschaltung von WebGL zu inkludieren. Dieses Plug-in empfehlen wir, um User vor schädlichen Inhalten aus dem Internet zu schützen."
Der vollständige Context-Blog, sowie zwei Videos sind abrufbar unter: http://www.contextis.com/webgl
Context Information Security ist eine unabhängige Beratungsfirma für Sicherheitsthemen. Die Spezialisierungen liegen sowohl im Bereich der technischen Sicherheit als auch bei Dienstleistungen zur Informations- und Datensicherung. Seit der Gründung im Jahr 1998 hat das Unternehmen seinen Kundenstamm kontinuierlich ausbauen können - zum einen aufgrund des produktübergreifenden, ganzheitlichen Ansatzes und der individuell zugeschnittenen Services. Zum anderen liegt der Erfolg in der Unabhängigkeit und Integrität der Berater sowie ihrer fundierten technischen Fähigkeiten begründet. Zu den Kunden gehören heute einige der weltweit führenden Großunternehmen sowie Regierungsorganisationen. Context verbindet breitgefächerte Erfahrung mit technischer Expertise und wird damit den umfassenden Anforderungen an Sicherheitsexperten der heutigen Zeit gerecht. Effektive und praktische Lösungen sowie Rat und Unterstützung sind das vorrangige Ziel. Daher liefert Context nicht nur tiefgreifende, technische Analysen und Empfehlungen, sondern übersetzt seine Reports auch für die Managementebene.
Context Information Security Ltd.
Veronica Dunkerley
30 Marsh Wall
E14 9TP London
+44 (207) 537 7515
UNI.DE ueber Zukunft studieren
Pressemitteilung veröffentlicht am: 31.05.2012 22:03Uhr Die Vielfalt der Studiengänge
...
Benediktiner-Abtei in Tabgha eingeweiht
Pressemitteilung veröffentlicht am: 31.05.2012 21:51Uhr Derix Glasstudios aus Taunusstein realisieren die Kirchenfenster nach Entwürfen von Prof. Johannes Schreiter
...
dolphIT praesentiert PV-SOC auf der Intersolar 2012
Pressemitteilung veröffentlicht am: 31.05.2012 21:20Uhr Innovative Diebstahlsicherung für Solaranlagen auf der Leitmesse der Solarwirtschaft zu sehen
...
CS Euroreal in Liquidation
Pressemitteilung veröffentlicht am: 31.05.2012 20:49Uhr CS Euroreal in Liquidation
...
5.000 Euro Kredit ohne Schufa - Kredit1a.de
Veröffentlicht am: 05.01.2012 08:38Uhr Wir von Bavaria Finanz Service können den Kreditkunden ab 01.01.2012 höhere Kreditsummen ohne Schufa anbieten.Diese Angebote finden Sie auf www.kredit1a.de. Un...
Video Bavaria Finanz auf Youtube
Veröffentlicht am: 01.03.2010 10:00Uhr Bavaria Finanz Service veröffentlicht das neue Video auf youtube. ...
Bavaria Finanz Service - Tv Spot - Werbefilm
Veröffentlicht am: 25.02.2010 19:18Uhr Bavaria Finanz Service veröffentlicht heute deren neuen TV Spot. Dieser Werbefilm wird demnächst auf allen Videoportalen, wie youtube etc. veröffentlicht werden...
Kredit Tipp Guenstige Umschuldung von KREDIT1a.de
Veröffentlicht am: 09.05.2007 08:26Uhr Sie haben bereits mehrere Kredite bei verschiedenen Banken laufen. Und auch zusätzlich noch vielleicht eine PKW Finanzierung. Der Überblick über die einzelnen R...
Kredit Tipp guenstige Kredite trotz negativer Schufa
Veröffentlicht am: 09.05.2007 08:32Uhr Sollte man Schufasorgen haben, so ist man bei Kredit1a.de am besten aufgehoben. Die Kreditplattform kredit1a.de bietet neben einer Vielzahl von Standarkrediten ...
Kredit bei negativer Schufa Auskunft
Veröffentlicht am: 20.12.2006 09:46Uhr Oftmals hat man als Kreditantragsteller das Problem, daß die Schufa negativ ist. Eine negative Schufa bedeutet eigentlich immer, daß ein Kreditantrag abgelehnt ...
