Computers te hacken via WebGL

Met behulp van WebGL, de module waarmee Chrome en Firefox 3D weer kunnen geven, kunnen hackers inbreken op een computer. De Amerikaanse CERT raadt aan de module uit te schakelen.

Het Engelse beveiligingsbedrijf Context maakte gisteren bekend dat er een fundamenteel probleem zit in WebGL, de standaard die 3D-weergave in Chrome en Firefox zonder plug-ins mogelijk maakt. Door de manier waarop  WebGL werkt zou het voor kwaadwillenden mogelijk zijn om zo in te breken op een computer.

Webapps krijgen toegang tot driver
Volgens onderzoeker James Forshaw van Context ontstaat de onveiligheid doordat webapplicaties toegang krijgen tot de drivers van de videokaart. Als er kwetsbaarheden in die driver zitten, kan de hacker een malafide webapplicatie gebruiken om direct in het binnenste van een systeem te raken.

Op die manier is het relatief eenvoudig mogelijk om de computer te laten crashen, programma’s uit te voeren of privégegevens te stelen. Forshaw heeft een proof-of-concept ontwikkeld en acht het aannemelijk dat meer videokaartdrivers kwetsbaar zijn: “Die zijn niet ontwikkeld met beveiliging in het achterhoofd”, stelt hij.

'Schakel WebGL uit'
“Gebaseerd op dit beperkte onderzoek, is Context van mening dat WebGL nog niet klaar is voor massagebruik”, meent de Brit. “Daarom raden we aan dat gebruikers en IT-managers overwegen om WebGL in hun browsers uit te schakelen”.

Het Britse beveiligingsbureau kreeg daarin bijval van het Amerikaanse Computer Emergency Readiness Team (US-CERT). De Amerikanen geven ook aan dat de standaard enkele grote beveiligingsproblemen bevat.

WebGL is in Chrome uit te schakelen door '–disable-webgl' achter het commando in bijvoorbeeld de snelkoppeling op de pc te plaatsen. In Firefox kan dat door about:config in de adresbalk in te voeren en de optie webgl.enabled_for_all_sites op false te zetten.

Bron: Webwereld.nl

Gerelateerde nieuwsberichten

17/05/2012 Chrome synchroniseert tabs tussen apparaten
25/04/2012 Mozilla laat favicon weg uit adresbalk
28/12/2011 SMS en telefoongesprekken gemakkelijk af te luisteren
23/12/2011 Google betaalt Mozilla voor zoek-status
20/12/2011 ChromeTab
08/11/2011 Twitter komt met zoekoptie voor Firefox
07/11/2011 Firefox 8
10/10/2011 Beveiligingslekken gemeentewebsites
04/02/2011 Google lanceert nieuwe versie webbrowser Chrome
04/01/2011 Firefox deelt klap uit aan IE in Europa

4 reacties op 'Computers te hacken via WebGL'

PHP hulp
0 seconden vanaf nu

 

Gesponsorde koppelingen

Daniel H
1 jaar geleden

 

2 -0

in firefox 4 werkt de bovenstaande manier niet.
Doe het volgende: type in de adres balk 'about:config' (zonder '') en zet vervolgens de optie webgl.disable op true

Maikel B
1 jaar geleden

 

2 -0

Gaat dit alleen om videokaarten die ook daadwerkelijk 3d beelden ondersteunen of ook om videokaarten zonder 3d? En gaat het om het 3d door bijv een kubus te laten zien of het 3d met een bril op enzo?

Yearupie Achternaamloos
1 jaar geleden

 

0 -8

FAIL

Erwin Renkema
1 jaar geleden

 

0 -0

Achja, je kunt bij een gemiddelde poortscan tegenwoordig bij elk apparaat dat aan het internet hangt wel binnen komen. Het is een kwestie van tijd. SSH is volgensmij wel favoriet. En Windows gebruikers die hun admin password-loos laten zijn gewoon zichtbaar via samba. Ook in UNIX systemen kun je met een extra brijnaald tegenwoordig wel binnen komen. We hebben tevens zoveel services aanstaan dat de helft van de poorten uitgezonderd worden in de Firewall. Even je vinger door een poortje een het Firewall knopje zet je zo uit :P.