WebGL: Uma nova dimensão para exploração de vulnerabilidades nos navegadores

WebGL é um novo padrão da web para navegadores que querem trazer os gráficos 3D para qualquer página na internet. Foi recentemente ativado por padrão no Firefox 4 e Google Chrome, e pode ser ativado nas últimas versões do Safari. Há um crescente interesse em pesquisar novas áreas afetando o terreno da segurança. Alguns fatores são:

  1. Um número considerável de sérios problemas de segurança foram identificados com as especificações e implementação do WebGL.
  2. Esses problemas podem permitir a um atacante distribuir código malicioso através de um navegador web que esteja vulnerável a ataques na GPU e drivers gráficos.
  3. Adicionalmente há outros perigos com o WebGL que coloca dados e privacidade de usuários em risco.
  4. Esses problemas são inerentes à especificação do WebGL e iriam exigir mudanças significativas da arquitetura para remediá-los. Fundamentalmente, o WebGL agora permite completamente (Turing Complete) a programas da internet acessar os drivers gráficos e hardware gráfico, os quais operam no que é supostamente a parte mais protegida do computador (Kernel Mode).
  5. Navegadores que ativam o WebGL por padrão colocam seus usuários em risco desses problemas.

Via: WebGL: A new dimension for browser exploitation