Lücke in der WebGL-Implementierung von Firefox 4
Ein Bug in der WebGL-Implementierung von Firefox erlaubt es Angreifern, Screenshots anzufertigen. Die Entwickler wollen die Lücke in wenigen Tagen schließen. Wer nicht so lange warten will, kann eine Beta-Version verwenden oder WebGL abschalten.
- Christian Kirsch
Das britische Unternehmen Context hat bei seiner Untersuchung von WebGL-Implementierungen eine Sicherheitslücke im freien Browser Firefox 4 entdeckt. Dadurch kann ein Angreifer mit einer geeigneten präparierten Webseite Screenshots jedes Bildschirmfensters anfertigen. Diese Lücke ist spezifisch für die WebGL-Implementierung in Firefox und tritt nicht in Chrome auf.
In der nächsten Version des Browsers, die um den 21. Juni erscheinen soll, haben die Firefox-Entwickler den Fehler korrigiert. Alternativ können Anwender bereits jetzt eine Beta-Version des Browsers verwenden oder WebGL in seiner about:config-Seite abschalten. Bereits im Mai hatte Context eine Sicherheitslücke in WebGL aufgedeckt, durch die sich per gezielter Überlastung der Grafikkarte unter Windows 7 ein Bluescreen erzeugen ließ. Eine weitere Schwachstelle erlaubte das Umgehen der Same-Origin-Policy. Die Firefox-Entwickler hatten daraufhin in Version 5 des Browsers eine WebGL-Funktion abgeschaltet. (ck)
