Microsoft: WebGL jest zagrożeniem

Microsoft: WebGL jest zagrożeniem

17.06.2011 12:21, aktualizacja: 03.03.2022 07:34

WebGL — niskopoziomowe API grafiki 3D dla stron internetowych — zostało uznane przez Microsoft za źródło trudnych do naprawienia luk bezpieczeństwa.

WebGL został poddany analizie przez Microsoft Security Response Center, które stara się określić wpływ różnych technologii na bezpieczeństwo produktów Microsoftu i klientów firmy. Wyniki analizy nie są optymistyczne — produkty wykorzystujące WebGL raczej nie spełnią wymagań Security Development Lifecycle.

Ryzyko, na jakie naraża WebGL, zostało opisane na blogu MSRC. Zdaniem analityków z Microsoftu poważnym zagrożeniem jest zbyt pobłażliwe eksponowanie sprzętu aplikacjom webowym, a ich bezpieczeństwo zależy jedynie od niższych warstw systemu, w tym od sterowników dostarczonych przez inne firmy. Ponadto luki bezpieczeństwa WebGL nie zawsze będą widoczne w samym API WebGL, a ich wykrycie i usunięcie spocznie na barkach innych producentów oprogramowania (na przykład producentów sterowników). W blogu zasugerowano blokowanie zagrożonych konfiguracji sprzętowych przez implementacje WebGL, ale to rozwiązanie nie może zostać wdrożone przed wykryciem wszystkich luk.

MSRC przedstawił również scenariusz z atakiem Denial of Service (DoS). Ich zdaniem współczesne systemu nie obronią się w pełni przed złośliwymi, odpowiednio spreparowanymi shaderami i geometrią przygotowanymi przez atakujących. Przez to szkodliwe witryny mogą zawieszać lub restartować systemy.

Oprócz tworzenia efektownych animacji i bogatych aplikacji WebGL umożliwia niestety również pisanie szkodliwego kodu. Znanym przykładem jest aplikacja, która pozwalała stronie wykonać zrzut ekranu na komputerze użytkownika Firefoksa (luka załatana w Firefoksie 5). Ciekawe zestawienie ataków wykorzystujących geometrię i shadery wykonywane przez witrynę na karcie graficznej zostało niedawno opublikowane przez firmę Context Information Secutiry.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (52)