Пользователям Firefox и Chrome предлагается отключить инструмент 3D-рендеринга в своих браузерах из-за «серьезных» проблем с безопасностью.
Часть функциональности HTML5 Canvas, WebGL - это механизм рендеринга, который позволяет создавать 3D-изображения и анимацию без плагинов. Он используется в последних версиях Chrome и Firefox, а также в новейших сборках Safari.
Охранная фирма Context предупредила, что спецификация «небезопасна по своей сути».
«Риски проистекают из того факта, что большинство видеокарт и драйверов были написаны без учета требований безопасности, поэтому предоставляемый ими интерфейс (API) предполагает, что приложениям доверяют», - говорит Майкл Джордон, менеджер по исследованиям и развитию компании Context.
«Хотя это может быть справедливо для локальных приложений, использование браузерных приложений с поддержкой WebGL с определенными видеокартами в настоящее время создает серьезные угрозы от нарушения принципа междоменной безопасности до атак типа« отказ в обслуживании », потенциально ведущих к полной эксплуатации машина пользователя. "
Эти опасения по поводу WebGL были поддержаны Группой готовности к компьютерным чрезвычайным ситуациям США (CERT), советником федерального правительства по кибербезопасности. US CERT предупредил, что WebGL содержит «несколько серьезных проблем безопасности», и посоветовал пользователям отключить его.
«Воздействие этих проблем включает выполнение произвольного кода, отказ в обслуживании и междоменные атаки», - сказал US CERT, предупредив пользователей, чтобы они «отключили WebGL, чтобы снизить риски».
Как отключить WebGL
Вот как отключить WebGL (спасибо TechDows за инструкции).
В Chrome:
- щелкните правой кнопкой мыши ярлык Chrome
- щелкните свойства
- введите -disable-webgl в целевое поле после строки Chrome.exe (… chrome.exe -disable-webgl)
- нажмите "Применить"
Как отключить WebGL в Firefox 4:
- введите «about: config» в адресную строку
- согласитесь с предупреждающим сообщением «здесь будут драконы»
- введите «webgl» в поле «Фильтр».
- дважды щелкните «webgl.disable», чтобы значение изменилось на «true».
- перезапустить браузер
Мы все еще ждем подтверждения от Google и Mozilla о том, будет ли отключение WebGL таким способом достаточной защитой.