Sicherheitsexperten warnen jüngst vor Schwachstellen innerhalb der GPU-Einheiten führender Hersteller. Eben jene können es gar erlauben, dass Hacker sich ungewollten Zugriff verschaffen und sensible Daten (die im Browser angezeigt werden) auslesen.
Die konkrete Schwachstelle hört auf den Namen GPU.zip und erlaubt sogenannte Cross-Origin-Angriffe. Im Grunde werden hierbei von Hackern bösartige Webseiten erstellt, die nachverfolgen, wie lang eine GPU konkret benötigt, um eine separate Website zu rendern. Diese Infos werden im Anschluss genutzt, um eine zweite Seite pixelgenau wiederherzustellen. Das Ende vom Lied? Die womöglich etwas wirr wirkende Prozedur kann letzten Endes dafür genutzt werden, mittels bösartiger Webseiten sensible Inhalte wie Benutzernamen, Passwörter oder andere vertraute Infos in Besitz zu bringen.
Das war jetzt stark heruntergebrochen und mag im konkreten Anwendungsfall etwas komplizierter ablaufen (bei Interesse hier das entsprechende Paper), allerdings haben GPU-Hersteller die Bedeutungen dieser Ergebnisse heruntergespielt und jedwede Schuld von sich gewiesen. Laut Hersteller sei das ein Problem, was von anderen Stellen angegangen werden müsste ...
"Sanfte" Reaktion der OEMs
Doch auch die Medien spielen den Bedrohungsfaktor bisher weitgehend herunter. Häufig sei davon die Rede, dass die Ausnutzung selbiger Sicherheitslücken noch in weiter Zukunft liege, weil hierfür entsprechend viele Bedingungen erfüllt sein müssen und Vorkehrungen getroffen sein wollen.
Beispielsweise muss der Browser zulassen, dass herkunftsübergreifende Iframes via Cookies geladen werden. Und auch die SVG-Filter Rendering muss gewährleistet sein sowie die Tatsache, dass das Rendering selbst auch an die GPU deligiert wurde. Erwähnenswert: Die Schwachstelle ist derzeit auch "nur" bei Chrome sowie Edge vorliegend, Safari- oder Firefox-Nutzer bleiben hingegen weiter verschont.
Google hat bereits auf die Vorwürfe reagiert und erklärt, dass "weit verbreitete Header die Einbettung von Websites verhindern können, wodurch dieser Angriff vereitelt wird" und fügt hinzu, dass keine Änderungen geplant sind.
Und auch Intel meldete sich zu Wort und äußerte, dass das Problem nicht etwa bei den Grafikprozessoren, sehr wohl aber bei den Software-Angeboten der Drittanbieter zu suchen sei – Die Konsequenz: keine Gegenmaßnahmen von Team Blau.
Für Qualcomm ist "das Problem nicht in unserem Bedrohungsmodell enthalten", da es "von der Browser-Anwendung gelöst werden kann". Auch hier also keine Reaktion ...
Doch wenn sich niemand wirklich kümmert ... wie lange bleibt das dann noch ein kleines, vernachlässigbares Problem?
Via Ars Technica
Weitere Neuigkeiten und Berichte von TechRadar Pro
