Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

WebGL ein Sicherheitsproblem für Web-Browser

Die Sicherheitsexperten von Context haben in ihrem Blog vor WebGL gewarnt, weil damit ein direkter Zugriff auf die Grafikkarte möglich ist. Dies kann indirekt dazu genutzt werden, um das System zu überlasten und über Schwachstellen im Grafiktreiber schließlich schädliche Programmanweisungen in das System einzuschleusen - vorbei an den üblichen Sicherheitsvorkehrungen der Web-Browser. Auf dieses Dilemma hatte bereits die Khronos Group aufmerksam gemacht, welche für die GL-Standards verantwortlich ist. Um die Sicherheitsprobleme in den Web-Browsern zu lösen, müsste die gesamte Architektur umgestellt werden. Context schlägt daher die Erarbeitung einer völlig neuen Spezifikation vor, die keine gefährlichen Zugriffe auf Hardware und System erlaubt. Bis dahin sollte aus Sicherheitsgründen die Deaktivierung von WebGL in Erwägung gezogen werden.

Weiterführende Links:
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchOS 11.0.1 und visionOS 2.0.1 soeben erschienen
iOS 18.0.1, iPadOS 18.0.1, macOS 15.0.1, watchO...
iPhone 16: Lieferzeiten teils deutlich gestiegen – aktuelle Übersicht
iPhone 16: Lieferzeiten teils deutlich gestiege...
Kurz: Schon wieder neue AirPods-Firmware +++ Severance Staffel 2: Trailer erschienen
Kurz: Schon wieder neue AirPods-Firmware +++ Se...
Kopplung "iPhone + Apple Watch" sowie Anbindung von Zubehör: Apple drohen weitere rechtliche Probleme
Kopplung "iPhone + Apple Watch" sowie Anbindung...
Test Cambridge P100
Test Cambridge P100
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "alles besser wird"
Sonos-Qualitätsmisere: Viele Maßnahmen, damit "...
Beddit ist Geschichte, Apple entfernt Apps
Beddit ist Geschichte, Apple entfernt Apps
TechTicker
TechTicker

Kommentare

Request
Request11.05.11 09:38
Jetzt echt...wieso ist das denen nicht vorher eingefallen?
1984 - Think different - Macintosh - iPhone / iPad - Think nothing - 2014
0
o.wunder
o.wunder11.05.11 09:45
Findet bei Hardware beschleunigtem h.264 nicht auch ein direkter Hardware Zugriff statt?
0
ChrisK
ChrisK11.05.11 09:53
o.wunder
Findet bei Hardware beschleunigtem h.264 nicht auch ein direkter Hardware Zugriff statt?

Äähm, das ist was ganz anderes. Bei WebGL wird fremder Programmcode auf der GraKa ausgeführt. H.264 ist nur eine Datei die eingelesen wird, der Code zur Dekodierung kommt vom jeweiligen Decoder (in unserem wohl von QuickTime) oder die Dekodierung wird von in die GraKa eingebackenem Code vorgenommen.


PS: Wo bleibt die Quote-Funktion für Kommentare?!
(Ja, ich werde mich darüber jetzt jedes mal wenn ich in einem Kommentar zitieren will aufregen.)
Wer anderen eine Bratwurst brät, hat ein Bratwurstbratgerät.
0
Kovu
Kovu11.05.11 10:05
Kann mir kaum vorstellen das das nicht softwareseitig schnell in den Griff zu bekommen ist.
0
Chiplet
Chiplet11.05.11 10:12
Ich hielt WebGL vom ersten Tag an, von dem ich davon gehört hatte, für keine gute Idee!
Kovu
Kann mir kaum vorstellen das das nicht softwareseitig schnell in den Griff zu bekommen ist.
Das bezweifle ich. Die Schwächen von WebGL scheinen Konzeptbedingt.
0
Ties-Malte
Ties-Malte11.05.11 11:02
sb
Bis dahin sollte aus Sicherheitsgründen die Deaktivierung von WebGL in Erwägung gezogen werden.

Gut. Oder auch nicht. Und das macht man im Zweifel wie? Und wo? Mach doch bitte ganze Nachrichten.

_____
Okay, hab mal gegoogelt. Offensichtlich bezieht sich die Nachricht nur auf Nightlies/Betas. Und auch nur dann, wenn WebGL aktiviert wurde (ist wohl standardmäßig deaktiviert).

Also sollten es diejenigen in Erwägung ziehen, die WebGL bewusst aktiviert haben, bei allen anderen isses eh nicht aktiv. Was dann mit folgendem Terminal-Befehl(en) geht:

defaults write com.apple.Safari WebKitWebGLEnabled -bool YES

defaults write com.apple.Safari WebKitWebGLEnabled -bool NO
The early bird catches the worm, but the second mouse gets the cheese.
0
ts
ts11.05.11 11:45
Schön, dass es bei Apple regelmäßige Grafiktreiber-Aktualisierungen gibt.
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.