Użytkownicy przeglądarek Firefox i Chrome są ostrzegani przed wyłączeniem narzędzia do renderowania 3D w swoich przeglądarkach po „znaczących” problemach z bezpieczeństwem.
WebGL, będący częścią funkcjonalności HTML5 Canvas, jest silnikiem renderującym, który umożliwia tworzenie obrazów i animacji 3D bez wtyczek. Jest używany w najnowszych wersjach Chrome i Firefox, a także w najnowszych wersjach Safari.
Firma zajmująca się bezpieczeństwem Context ostrzegła, że specyfikacja jest „z natury niepewna”.
„Zagrożenia wynikają z faktu, że większość kart graficznych i sterowników nie została napisana z myślą o bezpieczeństwie, więc interfejs (API), który udostępniają, zakłada, że aplikacje są zaufane”, mówi Michael Jordon, kierownik ds. badań i rozwoju w firmie Context.
„Chociaż może to dotyczyć aplikacji lokalnych, korzystanie z aplikacji opartych na przeglądarce WebGL z niektórymi kartami graficznymi stwarza teraz poważne zagrożenia, od złamania zasady bezpieczeństwa międzydomenowego po ataki typu „odmowa usługi”, potencjalnie prowadząc do pełnego wykorzystania maszyna użytkownika.”
Te obawy związane z WebGL zostały poparte przez amerykański zespół ds. gotowości na wypadek awarii komputerowych (CERT), doradca ds. Bezpieczeństwa cybernetycznego rządu federalnego. US CERT ostrzegł, że WebGL zawiera „wiele istotnych problemów związanych z bezpieczeństwem” i poradził użytkownikom, aby go wyłączyli.
„Wpływ tych problemów obejmuje wykonanie dowolnego kodu, odmowę usługi i ataki międzydomenowe”, powiedział amerykański CERT, ostrzegając użytkowników przed „wyłączeniem WebGL, aby zmniejszyć ryzyko”.
Jak wyłączyć WebGL
Oto jak wyłączyć WebGL (dzięki TechDows za instrukcje).
W Chrome:
- kliknij prawym przyciskiem myszy skrót Chrome
- kliknij właściwości
- wpisz -disable-webgl w polu docelowym po wierszu Chrome.exe (…chrome.exe -disable-webgl)
- kliknij zastosuj
Jak wyłączyć WebGL w Firefoksie 4:
- wpisz „about:config” w pasku adresu
- zgódź się na ostrzeżenie „Oto smoki”
- wpisz „webgl” w polu Filtr
- kliknij dwukrotnie „webgl.disable”, aby wartość zmieniła się na „true”
- uruchom ponownie przeglądarkę
Nadal czekamy na potwierdzenie od Google i Mozilli, czy wyłączenie WebGL w ten sposób zapewni wystarczającą ochronę.