zurück zum Artikel

Lücke in der WebGL-Implementierung von Firefox 4

Das britische Unternehmen Context [1] hat bei seiner Untersuchung von WebGL-Implementierungen eine Sicherheitslücke im freien Browser Firefox 4 entdeckt [2]. Dadurch kann ein Angreifer mit einer geeigneten präparierten Webseite Screenshots jedes Bildschirmfensters anfertigen. Diese Lücke ist spezifisch für die WebGL-Implementierung in Firefox und tritt nicht in Chrome auf.

In der nächsten Version des Browsers, die um den 21. Juni erscheinen [3] soll, haben die Firefox-Entwickler den Fehler korrigiert. Alternativ können Anwender bereits jetzt eine Beta-Version [4] des Browsers verwenden oder WebGL in seiner about:config-Seite abschalten. Bereits im Mai hatte Context eine Sicherheitslücke in WebGL aufgedeckt [5], durch die sich per gezielter Überlastung der Grafikkarte unter Windows 7 ein Bluescreen erzeugen ließ. Eine weitere Schwachstelle erlaubte das Umgehen der Same-Origin-Policy. Die Firefox-Entwickler hatten daraufhin in Version 5 des Browsers eine WebGL-Funktion abgeschaltet [6]. (ck [7])


URL dieses Artikels:
http://www.heise.de/-1262111

Links in diesem Artikel:
[1] http://www.contextis.com/
[2] http://www.contextis.com/resources/blog/webgl2/
[3] http://blog.mozilla.com/security/2011/06/16/webgl-graphics-memory-stealing-issue/
[4] http://mozilla.com/firefox/channel
[5] https://www.heise.de/meldung/WebGL-als-Sicherheitsproblem-1240168.html
[6] https://www.heise.de/meldung/Firefox-5-ohne-Unterstuetzung-fuer-Cross-Domain-WebGL-Texturen-1258146.html
[7] mailto:ck@ix.de