Слабое место убийцы Flash

webglWebGL — стандарт для отображения 3d-графики в браузерах без использования дополнительных плагинов, создаваемый разработчиками браузеров, может быть опасен для компьютеров, позволяя хакерам осуществлять атаку непосредственно на графический процессор.

Оцените:

WebGL — неотъемлемая часть будущего HTML5, страшный сон компании Adobe, который позволит показывать 3d-графику без использования flash. Стандарт создаётся рабочей группой, куда входят разработчики браузеров Safari, Chrome, Firefox и Opera, а также специалисты AMD и Nvidia. Участие последних не случайно — WebGL использует аппаратное ускорение. Непосредственное участие в разработке принимает Khronos Group — промышленный консорциум, целью которого является выработка открытых стандартов интерфейсов программирования (API) в области создания и воспроизведения динамической графики и звука на различных платформах.


 


На данный момент стандарт поддерживается в браузерах Chrome 9 и Firefox 4.


 


teapot_webgl


 


Однако, не всё так радужно. Недавно специалисты по вопросами безопасности британской компании Context заявили, что злоумышленник может на вредоносном сайте разместить код WebGL, который может быть напрямую передан в графический процессор, в результате чего компьютер просто выключится — тем самым можно организовать DoS атаку на компьютеры пользователей.


 


Специалисты по безопасности полагают, что эту же уязвимость можно использовать для создания полноценных троянских программ. Для этого необходимо использовать технологии, позволяющие выполнять обычный код на графических ядрах — такие, как OpenCL или NVIDIA CUDA.


 


По данным специалистов, данная уязвимость имеется как в 2D-, так и в 3D-режимах, как для чипов Nvidia, так и для AMD.


 


В ответ представители Khronos Group заявили, что существует модуль для определения подобного рода атак на WebGL, который могут использовать производители графических карт. Также часть вины была переложена на производителей видеокарт, которые не выпускают обновленные драйвера с улучшенной защитой.


 


webgl_frog


 


Специалисты Context оказались не удовлетворены этим ответом — они считают, что врождённые недостатки WebGL делают задачу осуществления безопасности весьма трудной. Так, один из сотрудников Context James Forshaw пишет, что «эти проблемы присущи WebGL спецификации и потребуются значительные архитектурные изменения в платформе для устранения ошибок. По сути, WebGL сейчас позволяет программам из Интернета получать доступ к драйверам видеокарты и графическим аппаратным средствам, которые работают в одной из наиболее защищённых частей компьютера (режиме ядра)».


 


Впрочем, на данный момент данная угроза не является масштабной, т.к. далеко не все графические карты пока что поддерживают инструкции WebGL. Более того, встроенные видеокарты Intel, которые на данный момент составляют 50% рынка, не поддерживают их в принципе.


 


На новость об уязвимости WebGL отреагировали в российском офисе AMD.


Как сообщил РИА Новости Николай Радовский, менеджер по продажам компании, маловероятно, что использование этой уязвимости будет пользоваться популярностью у вирусописателей, так как написание подобных вредоносных программ требует слишком больших усилий.

Автор: danivanov
Оцените:

Комментарии Facebook

Комментарии ВКонтакте