мая
11
2011

В спецификации WebGL была обнаружена угроза безопасности

Английская консультационная компания Context Information Security Ltd обнародовала информацию о том, что технология WebGL, служащая для отображения 3D-графики на интернет страницах без использования каких-либо плагинов, несет в себе угрозу безопасности.

За последние пару дней мы узнали о том, что браузер Google Chrome взломали. Теперь еще и угроза со стороны использования WebGL.
По словам указанной выше компании, угроза достаточно серьезная. Использование уязвимостей через WebGL позволит злоумышленникам поставить под угрозу безопасность компьютера пользователя.

В компании не раскрыли подробностей своих экспериментов, но подтвердили, что вполне можно использовать системы с некоторыми видео-картами, чтобы взломать операционную систему.
Они акцентируют внимание на том, что большая часть видеоадаптеров и драйверов к ним не были написаны, исходя из соображений безопасности относительно API для сторонних приложений. И зачастую, все приложения, включая браузеры, являются доверенными, с высокой долей допуска.
Злоумышленник может через специально созданную страницу организовать атаку на систему жертвы, что может привести к отказу в обслуживании и взятию контроля над машиной.

Английские специалисты рекомендуют пока отключить работу WebGL в своих браузерах. Напомним, что на данный момент работу WebGL поддерживает Firefox 4 и Google Chrome с 9 версии. А разработчиков призывают проработать архитектуру спецификации, чтобы предотвратить данные виды рисков.

Для справки, спецификация WebGL была разработана как ответвление от стандартного OpenGL, с целью обеспечить 3d-графику в браузерах без использования каких-либо кодеков или плагинов. Недавно была принята финальная версия спецификации WebGL.

Первыми ее реализовали в компании Mozilla, в ходе разработки Firefox 4. В Google Chrome введение в функционал произошел в девятой версии браузера. Также по некоторым данным, поддержка скоро появится в Safari. В Opera есть тестовая версия с поддержкой WebGl. Однако, как стало известно недавно, введения в стабильную ветку не случится в версии Opera 11.50, а будет реализовано в следующих релизах.

Оставить комментарий

Цитировать