Uporabniki Firefoxa in Chroma so opozorjeni, naj izklopijo orodje za 3D upodabljanje v svojih brskalnikih zaradi "pomembnih" varnostnih težav.
WebGL je del funkcionalnosti Canvas HTML5 in je stroj za upodabljanje, ki omogoča 3D slike in animacije brez vtičnikov. Uporablja se v najnovejših različicah Chroma in Firefoxa, pa tudi v najnovejših različicah Safarija.
Varnostno podjetje Context je opozorilo, da je specifikacija "samo po sebi nezanesljiva".
»Tveganja izhajajo iz dejstva, da večina grafičnih kartic in gonilnikov ni bila napisana z varnostjo v mislih, tako da vmesnik (API), ki jih izpostavljajo, predvideva, da so aplikacije zaupanja vredne,« pravi Michael Jordon, vodja raziskav in razvoja pri Context.
»Čeprav to morda velja za lokalne aplikacije, uporaba brskalnikov, ki podpirajo WebGL, z nekaterimi grafičnimi karticami zdaj predstavlja resne grožnje od kršitve načela varnosti med domenami do napadov z zavrnitvijo storitve, kar lahko vodi do popolnega izkoriščanja uporabnikov stroj."
Te pomisleke glede WebGL je podprla ameriška ekipa za pripravljenost na računalniške nujne primere (CERT), svetovalec zvezne vlade za kibernetsko varnost. US CERT je opozoril, da WebGL vsebuje "več pomembnih varnostnih težav", in uporabnikom svetoval, naj ga izklopijo.
"Vpliv teh težav vključuje poljubno izvajanje kode, zavrnitev storitve in napade med domenami," je dejal ameriški CERT in uporabnike opozoril, naj "onemogočijo WebGL, da bi zmanjšali tveganja".
Kako izklopiti WebGL
Tukaj je opisano, kako izklopite WebGL (hvala TechDows za navodila).
V Chromu:
- desni klik na bližnjico v Chromu
- kliknite lastnosti
- vnesite -disable-webgl v ciljno polje za vrstico Chrome.exe (…chrome.exe -disable-webgl)
- kliknite Uporabi
Kako izklopiti WebGL v Firefoxu 4:
- v naslovno vrstico vnesite "about:config".
- strinjate se z opozorilnim sporočilom »tukaj zmaji«.
- v polje Filter vnesite "webgl".
- dvokliknite »webgl.disable«, da se vrednost spremeni v »true«
- znova zaženite brskalnik
Še vedno čakamo na potrditev Googla in Mozille, ali bo onemogočanje WebGL na te načine zadostna zaščita.