2min

Microsoft heeft een waarschuwing afgegeven voor WebGL, volgens Microsoft is WebGL niet veilig en is dat de reden waarom de technologie niet wordt gebruikt in Internet Explorer. Chrome, Safari en Firefox zijn momenteel de enige browsers die WebGL ondersteunen en deze zijn dan ook kwetsbaar door WebGL, aldus Microsoft.

Microsoft gebruikt de conclusies van het bedrijf Context Information Security om WebGL als onveilig te bestempelen. Dit bedrijf deed onderzoek naar WebGL en heeft inmiddels meerdere malen melding gemaakt van beveiligingsproblemen rond WebGL. Zo zou de platformonafhankelijke grafische API voor 3D graphics voor grote problemen zorgen, deze zorgt er namelijk voor dat PC’s bloot staan aan gevaren van buitenaf. Het is zelfs mogelijk om een screendump te stelen.

Het probleem zit volgens het bedrijf Context niet zozeer in WebGL maar meer in het framework eromheen. In mei heeft het bedrijf al melding gemaakt van de zwakke plekken in WebGL. Inmiddels zijn zowel Chrome als Firefox voorzien van fixes voor deze problemen, maar deze zouden nog steeds niet voldoende zijn.

Mogelijkheden en gevaren van WebGL

Het probleem is volgens Microsoft dat browsers veel teveel toegang tot het systeem krijgen met WebGL. WebGL geeft de webtoepassingen namelijk toegang tot de hardware van de computer, namelijk de videokaart. Dit om grafische handelingen in de browser sneller te kunnen verwerken. Normaal gesproken wordt zulke low-level toegang tot het systeem afgeschermd voor applicaties.

De enige manier om WebGL veilig te houden is als mogelijke zwakke plekken snel kunnen worden opgelost, in de browsers van Chrome en Firefox is dat echter geen probleem, maar wel in het geval voor de videokaart drivers. Doordat de videokaart drivers een belangrijke rol gaan spelen, kunnen ook daar zwakke plekken in ontstaan zodat die vaker moeten worden geüpdatet.

Op dit moment is er geen degelijk updatesysteem voor deze videokaart drivers, ook gebruikers updaten hun videokaartdrivers over het algemeen ook niet enorm vaak. Daarnaast zijn er ook nog de OEM-fabrikanten die ervoor zorgen dat drivers alleen via hun kunnen worden aangeleverd, zoals bijvoorbeeld Dell doet met de videokaart drivers. Deze drivers worden door Dell echter weer niet voldoende onderhouden, vaak komt er maar 1x per jaar een update uit.

Hierdoor ontstaat volgens Microsoft een zeer onveilige situatie, hierdoor lijkt Microsoft dan ook af te zien van implementatie van WebGL in Internet Explorer. Ook ziet Microsoft geen uitweg in externe beveiliging want dan komt het niet op het blokkeren van onveilige configuraties waardoor websites niet goed functioneren of het toelaten van onveilige systeem waardoor de systemen wagenwijd open staan.

Het beveiligingsbedrijf Context heeft ook een demonstratie gedaan dat het niet alleen een theoretisch probleem is, zij waren in staat om het geheugen van de videokaart uit te lezen, waar bijvoorbeeld een complete screendump uit te halen is.