Sicurezza, allarme WebGL e allerta Chrome

Scoperta un'insidiosa falla nella standard web che fornisce accelerazione grafica ai software di navigazione. E viene rivelato un clamoroso bug zero-day nel browser Google. Da confermare
Scoperta un'insidiosa falla nella standard web che fornisce accelerazione grafica ai software di navigazione. E viene rivelato un clamoroso bug zero-day nel browser Google. Da confermare

Guai in arrivo per WebGL, lo standard promosso da Khronos Group che porta l’accelerazione hardware 3D sulle pagine web. Gli esperti di sicurezza hanno appena scoperto una insidiosa falla nella sua struttura che potrebbe essere usata anche per mettere al tappeto browser e sistema operativo.

Sfruttando la vulnerabilità della tecnologia usata da Firefox e Chrome, un malintenzionato potrebbe infatti infiltrarsi nel sistema dell’utente e mandare in tilt il computer, attaccando la GPU e i driver grafici. Del resto, come fanno notare gli esperti della Context , WebGL consente un accesso diretto al Kernel, nella parte più protetta del computer, ed è già stato sfruttato, in passato, per attacchi di tipo denial-of-service.

Crash a parte, la possibilità di colpire con un malware il chip grafico di una scheda video potrebbe addirittura mettere a rischio i contenuti che vengono visualizzati sul monitor. In teoria, tutte le informazioni sensibili dei naviganti infettati potrebbero essere esposte ad occhi indiscreti. In attesa di una risposta da Khronos, Context consiglia la disattivazione di WebGL nel proprio browser.

Nel frattempo, l’azienda di sicurezza francese Vupen ha dichiarato di aver scoperto un clamoroso bug zero-day in Chrome e ha dimostrato di essere riuscita a superare i collaudati sistemi di sicurezza del browser, tra ASLR, DEP e sandbox. Per documentare l’efficacia e la stabilità dell’exploit, effettuabile su tutte le versioni di Windows a 32 e 64 bit, Vupen ha anche realizzato un apposito filmato. Il colosso di Mountain View sta indagando su queste affermazioni e non ha ancora confermato il problema.

Roberto Pulito

Link copiato negli appunti

Ti potrebbe interessare

10 05 2011
Link copiato negli appunti