Mozilla dicht WebGL-gat in Firefox 5
Mozilla dicht een securitygat in zijn implementatie van WebGL in Firefox. Die patch komt in Firefox 5, maar verschijnt niet voor de huidige versie 4.
De makers van de open source-browser erkennen de nieuwste bevindingen van securitybedrijf Context en komen met een patch voor het WebGL-gat in Firefox. Die fix verschijnt in de volgende release van die browser. Dat is versie 5, waarvan de definitieve uitvoering vandaag verschijnt. Mozilla brengt voortaan nieuwe Firefox-versies sneller na elkaar uit, die daardoor dus elk minder verbeteringen bevatten.
Implementatiefout
Context concludeert uit lopend onderzoek naar WebGL, en de implementaties daarvan, dat zowel Firefox als Chrome kwetsbaarheden hebben. Zo is het mogelijk om via de browser ‘af te kijken’ wat er verder in beeld is op de pc van een slachtoffer. Dit gebeurt via het geheugen van de videokaart waar WebGL toegang toe heeft.
Microsoft heeft dit al aangegrepen om te stellen dat WebGL onveilig is. Dit ondanks de constatering van Context dat niet WebGL zelf dit gat heeft, maar de implementaties van die grafische technologie voor browsers. De eerste kwetsbaarheid in WebGL is begin mei al ontdekt door Context.
Firefox 4, Chrome 9
Vervolgens heeft WebGL-ontwikkelaar Khronos samen met browsermakers Google en Mozilla maatregelen getroffen. Die blijken echter niet afdoende, constateert Context in een tweede rapport over WebGL en de implementaties daarvan. Mozilla belooft nu dus een fix, voor alleen Firefox 5.
Het is nog niet bekend of Google met een fix komt voor Chrome. Die browser heeft al WebGL-ondersteuning ingebouwd sinds versie 9, uitgekomen in februari dit jaar. Google voorziet zijn webbrowser automatisch van updates. Gebruikers en beheerders kunnen die niet weigeren met een instelling in het programma.
Microsoft
Ondertussen heeft een toparchitect van Microsoft gesteld dat het bedrijf zich niet officieel afkeert van WebGL, dat volgens hem de toekomst heeft. De berichtgeving over de ‘onveiligheid’ van die webtechnologie zijn afgeleid van een blogpost van Microsofts securityteam dat “slechts een angstzaaiend rapport napraat van enkele weken terug”, aldus ‘principal architect’ Avi Bar-Zeev, ooit mede-grondlegger van Google Earth (toen dat nog Keyhole heette en niet was opgekocht door Google).
Bron: Webwereld.nl