Rapporten om at WebGL, en standard for visning av 3D-grafikk i nettlesere, enkelt kan utnyttes til å utføre blant annet DoS-angrep mot pc-er, har trolig ikke kommet som noen overraskelse på Khronos Group, organisasjonen som leder arbeidet med blant annet WebGL-spesifiseringen.
For allerede i fjor ble det laget et tillegg til OpenGL, som skal kunne stoppe slike angrep. WebGL er delvis basert på OpenGL. Utvidelsen kalles for GL_ARB_robustness. Denne er skal kunne hindre blant annet DoS-angrep via WebGL-innhold.
Dette tillegget er ifølge Khronos allerede tatt i bruk i driverne til noen GPU-leverandører, og ventes å bli raskt tatt i bruk av andre.
Dersom nettleserne som støtter WebGL i tillegg forutsetter at denne utvidelsen er tilgjengelig, før WebGL-innhold får vises, vil det ifølge Khronos kunne hindre slike angrep som kan får hele datamaskinen til å gå i stå.
Det er ventet at denne funksjonaliteten snart vil tilbys av Chrome og Firefox, som er de to nettleserne som støtter WebGL i dag.
Sikkerhetsselskapet Context, som står bak den opprinnelige rapporten, bekrefter her at OpenGL-tillegget vil kunne stoppe slike angrep, men er samtidig kritiske til hvordan dette gjøres. Løsningen går ut på at grafikkbrikken resettes, noe ikke nødvendigvis vil skje på en problemfri måte. Det avhenger i så fall av at all annen programvare som benytter grafikksystemet håndterer dette på korrekt måte.
Det andre problemet som Context peker på, er knyttet til støtte for kryssdomene-bilder i WebGL. Khronos mener at dette er en nyttig funksjonalitet for utviklere, men forteller at WebGL-arbeidsgruppen vurderer å kreve mekanismer som kan hindre misbruk av muligheten, for eksempel W3Cs CORS.
Også Context anbefaler en slik løsning.
Les også:
- [23.06.2011] – Silverlight har samme sårbarhet som WebGL
- [17.06.2011] Microsoft advarer mot WebGL
- [12.05.2011] Enkelt å krasje pc-er med WebGL
