Microsoft mijdt ‘onveilig’ WebGL
Microsoft waarschuwt dat WebGL niet veilig is, en dat het die browsertechnologie daarom niet gebruikt. Chrome en Firefox zijn door WebGL kwetsbaar, aldus een securitybedrijf.
Microsoft grijpt de conclusies van consultancy Context Information Security aan om WebGL onveilig te verklaren. Die platformonafhankelijke grafische api (application program interface) voor 3D graphics (zoals animaties) legt pc’s namelijk bloot, argumenteert de maker van Internet Explorer (IE).
Context demonstreert dat er ondanks securitywerk aan WebGL nog altijd zwakke plekken in zitten. Dit raakt Chrome en Firefox. Het securitybedrijf heeft in mei al alarm geslagen over deze nieuwe exploit-ingang in de browser. Vervolgens heeft WebGL-ontwikkelaar Khronos samen met browsermakers maatregelen getroffen. Die zijn echter niet afdoende, blijkt uit nieuwe tests van Context.
‘Te veel toegang’
Browsers die WebGL ondersteunen, geven webtoepassingen toegang tot onderliggende hardware. Volgens Microsoft gebeurt dat op een manier die websites en webapps te veel vrijheden geeft. Normaliter schermen applicaties en het besturingssysteem dergelijke diepe (low-level) toegang tot het systeem af.
Microsoft heeft zelf al jaren negatieve ervaring met de eigen ActiveX-technologie voor zijn in Windows geïntegreerde webbrowser IE. Veel malware heeft dankbaar gebruik gemaakt van de mogelijkheden van en gaten in ActiveX. In IE9 heeft Microsoft zelfs de noodmaatregel genomen van een ActiveX-firewall, maar die staat default uit.
Via WebGL krijgen websites en daarmee aanvallers op afstand toegang tot voorheen afgeschermde zaken, zoals videodrivers. Microsoft merkt op dat er geen efficiënt updatesysteem is voor dergelijke drivers. Het bedrijf noemt het eigen updatesysteem Windows Update als goed voorbeeld. Daarlangs worden ook wel videodrivers aangeboden, maar dat gebeurt op vrijwillige basis en niet met regelmaat.
Drivers updaten
Zonder een goed updatesysteem voor grafische drivers dreigt er door WebGL een onveilige situatie, waarschuwt Microsoft. Óf pc’s zijn kwetsbaar als onveilige configuraties niet worden geblokkeerd, waar de WebGL-standaard wel een voorziening voor heeft. Óf gebruikers kiezen zelf voor het negeren of uitschakelen van die WebGL-bescherming om zo WebGL-toepassingen toch te kunnen draaien.
“Gebruikers zijn het niet gewend om up-to-date te blijven met de nieuwste drivers voor grafische kaarten, wat wel vereist zou zijn om een veilige webervaring te hebben”, blogt Microsoft. Het wijst er ook op dat drivers van videokaartmakers niet altijd geïnstalleerd kunnen worden op pc’s met oem-videokaarten (original equipment manufacturers). Pc-fabrikanten blokkeren die installatie van ‘retail drivers’ en komen zelf sporadisch met updates. “Vaak updaten zij hun drivers een keer per jaar, wat niet echt compatibel is met de behoeftes van een veilig updateproces.”
Implementatieprobleem, niet WebGL
Securitybedrijf Context demonstreert dat het niet slechts om een theoretisch probleem gaat. Uit het lopende onderzoek van die firma blijkt dat kwaadwillenden gebruikersgegevens kunnen buitmaken bij Firefox-gebruikers. Het probleem zit volgens Context echter niet in WebGL zelf, maar in de huidige implementatie daarvan door browsers. Op dit moment zijn Firefox en Chrome de enige browsers die WebGL ondersteunen.
Via WebGL is bijvoorbeeld het geheugen van de videokaart te 'bespieden'. Daarin staat alles wat er wordt getoond op het beeldscherm, zoals geheime documenten. Context toont bij zijn tweede rapport over de onveiligheid van WebGL een screenshot van Apple's browser Safari, die het echter niet noemt in de blogpost zelf. Ondertussen waarschuwt Microsoft ook voor het gevaar van denial-of-service (DoS) aanvallen, waarbij een pc dus simpelweg gesaboteerd wordt.
Geheime documenten op een pc 'kapen' via de browser, dankzij WebGL:
Bron: Webwereld.nl