WebGL застрашава потребителите на Firefox и Chrome
Xakep #240. Гидра
Екипът за компютърна готовност на САЩ при извънредни ситуации съветва потребителите на браузъра Mozilla Firefox и Google Chrome да деактивират новодобавения графичен двигател, който може да се използва за наблюдение на компютрите на крайните потребители.
Уеб стандартът, известен като WebGL, отваря браузърите за сериозни атаки, включително дистанционно изпълнение на зловреден код, наскоро предупреди независимата консултантска компания Context Information Security. Технологията дебютира в Chrome 9 и беше добавена към наскоро пуснатия Firefox 4. WebGL също присъства в Opera и Apple Safari.
„Въз основа на това изследване, Context не вярва, че WebGL е наистина готов за масова употреба“, пише изследователят на Context Джеймс Форшоу. „Следователно Context препоръчва на потребителите и корпоративните ИТ мениджъри да обмислят деактивирането на WebGL в своите браузъри.“
Технологията е проектирана да показва 3D графики и позволява на браузъра да осъществява достъп до графичния хардуер на компютъра. Досега сигурността при трансфер на графики не е била голям проблем, но широко разпространената наличност на WebGL трябва да промени това. Злонамерените уеб администратори могат да използват слабите страни на стандарта, за да предизвикат прословутия син екран на смъртта, да откраднат потенциално чувствителни данни или да изпълнят зловреден софтуер на компютъра на крайния потребител.
Говорителят на Google не направи претенции срещу доклада за контекста, но предложи следното:
Много части от WebGL стека, включително обработката на GPU, се изпълняват в отделни процеси и са изолирани в Chrome, за да предотвратят различни видове атаки. Да помогназа да предотвратим атаки на ниско ниво, ние работим с доставчици на хардуер, операционна система и драйвери, за да деактивираме проактивно несигурните конфигурации и да им помогнем да подобрят надеждността.
Бих искал също да отбележа, че Chrome не работи при някои системни конфигурации, ако има проблеми с обекти от по-ниско ниво. Това е ключова междинна стъпка за защита на потребителите на Chrome.
Говорителят не каза дали тези мерки са достатъчни, за да предотвратят експлоатацията на уязвимостите на WebGL, описани от Context в Chrome.
Разширението, известно като GL_ARB_robustness, „вече е внедрено от някои доставчици на GPU и Khronos очаква то да бъде пуснато бързо от други, се казва в изявлението. „Браузърите може да проверяват за това разширение, преди да активират WebGL. Това вероятно ще бъде начинът, по който WebGL работи в близко бъдеще.“
В изявлението не се посочват производителите и не се казва какъв процент от тях използват подсистемата за сигурност.
Във вторник членовете на US-CERT повториха препоръката за изключване на WebGL. Досега нито Context, нито CERT са дали инструкции как да деактивирате стандарта в различни браузъри.