สำหรับผลกระทบของช่องโหว่ความปลอดภัยใน WebGL นั้นสามารถใช้ในโจมตีระบบได้หลายรูแแบบ เช่น Arbitrary Code Execution, Denial of Service, และ Cross-domain ในกรณีที่การโจมตีประสบความสำเร็จอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบและเข้าถึงข้อมูลส่วนตัวของผู้ถูกโจมตีได้
WebGL เป็นมาตรฐานเว็บตัวใหม่สำหรับโปรแกรมเว็บเบราเซอร์ใช้ในการแสดงผลกราฟิก 3 มิติ (3D graphics) บนหน้าเว็บโดยไม่ต้องใช้ปลั๊กอินเพิ่มเติม โดย WebGL จะถูกเปิดใช้งานโดยดีฟอลท์ในโปรแกรม Firefox ของโมซิลลา, Google Chrome ของกูเกิล และจะรวมอยู่ใน Safari ของแอปเปิล
กลไกการโจมตี WebGL
สำหรับกลไกในการโจมตี WebGL มีขั้นตอนดังนี้
ขั้นที่ 1: ผู้ใช้เข้าเยี่ยมไซต์ที่มีสคริปต์สำหรับโจมตี WebGL แฝงอยู่ด้วยโปรแกรม Firefox หรือ Google Chrome หรือ Safari
ขั้นที่ 2: WebGL ในโปรแกรมเว็บเบราเซอร์จะทำการอัปโหลด 3D geometry พร้อมด้วย Code ไปยังกราฟิกการ์ด
ขั้นที่ 3: เมื่อไดรเวอร์ของกราฟิกการ์ดที่มีข้อผิดพลาดหรือยังไม่ได้รับการแพตช์ทำการประมาลผล Geometry หรือ Code จะทำให้ไดรเวอร์ของกราฟิกการ์ดถูกโจมตีจนทำงานผิดพลาด
ขั้นที่ 4: กราฟิกการ์ดถูกทำงานผิดพลาดจนส่งผลให้ระบบคอมพิวเตอร์หยุดทำงานหรือเกิดการแครช
รูปด้านล่างเป็นการแสดงให้เห็นภาพของกลไกการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยที่พบ WebGL
The Mechanics of a WebGL Attack (Credit: www.contextis.com
อนึ่ง ปัญหาความปลอดภัยใน WebGL ที่พบในครั้งนี้ ไม่ส่งผลกระทบผู้ใช้ Internet Explorer เนื่องจากมันทำงานโดยใช้ DirectX API แทน WebGL
บทความโดย: Thai Windows Administrator Blog
แหล่งข้อมูลอ้างอิง
- Context: WebGL - A New Dimension for Browser Exploitation
- United States Computer Emergency Readiness Team (US-CERT)
Copyright © 2011 TWA Blog. All Rights Reserved.
0 Comment:
Post a Comment