Pages - Menu

Pages - Menu

Pages

Sunday, May 15, 2011

พบปัญหาความปลอดภัยร้ายแรงใน WebGL มีผลกระทบกับ Firefox, Google Chrome และ Safari

United States Computer Emergency Readiness Team (US-CERT) ซึ่งเป็นหน่วยงานที่ดูแลด้านระบบคอมพิวเตอร์ของประเทศสหรัฐอเมริกา ได้ประกาศเตือนผู้ใช้และผู้ดูแลระบบให้ระบบการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยใน WebGL ซึ่งเป็นองค์ประกอบของโปรแกรมเว็บเบราเซอร์ Firefox, Google Chrome และ Safari เนื่องจากมีการพบปัญหาความปลอดภัยร้ายแรงหลายอย่างใน WebGL ซึ่งสามารถใช้ทำการโจมตีทั้งตัวจีพียู (GPU) และไดรเวอร์ของกราฟิกการ์ด

สำหรับผลกระทบของช่องโหว่ความปลอดภัยใน WebGL นั้นสามารถใช้ในโจมตีระบบได้หลายรูแแบบ เช่น Arbitrary Code Execution, Denial of Service, และ Cross-domain ในกรณีที่การโจมตีประสบความสำเร็จอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบและเข้าถึงข้อมูลส่วนตัวของผู้ถูกโจมตีได้

WebGL เป็นมาตรฐานเว็บตัวใหม่สำหรับโปรแกรมเว็บเบราเซอร์ใช้ในการแสดงผลกราฟิก 3 มิติ (3D graphics) บนหน้าเว็บโดยไม่ต้องใช้ปลั๊กอินเพิ่มเติม โดย WebGL จะถูกเปิดใช้งานโดยดีฟอลท์ในโปรแกรม Firefox ของโมซิลลา, Google Chrome ของกูเกิล และจะรวมอยู่ใน Safari ของแอปเปิล

กลไกการโจมตี WebGL
สำหรับกลไกในการโจมตี WebGL มีขั้นตอนดังนี้
ขั้นที่ 1: ผู้ใช้เข้าเยี่ยมไซต์ที่มีสคริปต์สำหรับโจมตี WebGL แฝงอยู่ด้วยโปรแกรม Firefox หรือ Google Chrome หรือ Safari
ขั้นที่ 2: WebGL ในโปรแกรมเว็บเบราเซอร์จะทำการอัปโหลด 3D geometry พร้อมด้วย Code ไปยังกราฟิกการ์ด
ขั้นที่ 3: เมื่อไดรเวอร์ของกราฟิกการ์ดที่มีข้อผิดพลาดหรือยังไม่ได้รับการแพตช์ทำการประมาลผล Geometry หรือ Code จะทำให้ไดรเวอร์ของกราฟิกการ์ดถูกโจมตีจนทำงานผิดพลาด
ขั้นที่ 4: กราฟิกการ์ดถูกทำงานผิดพลาดจนส่งผลให้ระบบคอมพิวเตอร์หยุดทำงานหรือเกิดการแครช

รูปด้านล่างเป็นการแสดงให้เห็นภาพของกลไกการโจมตีระบบผ่านทางช่องโหว่ความปลอดภัยที่พบ WebGL

The Mechanics of a WebGL Attack (Credit: www.contextis.com

อนึ่ง ปัญหาความปลอดภัยใน WebGL ที่พบในครั้งนี้ ไม่ส่งผลกระทบผู้ใช้ Internet Explorer เนื่องจากมันทำงานโดยใช้ DirectX API แทน WebGL

บทความโดย: Thai Windows Administrator Blog

แหล่งข้อมูลอ้างอิง

Copyright © 2011 TWA Blog. All Rights Reserved.

No comments:

Post a Comment

เชิญแลกเปลี่ยนความคิดเห็น ขอสงวนสิทธิ์ในการเผยแพร่ข้อความ HTML