Korisnici Chromea i Firefoxa upozorili su da isključe WebGL

Korisnici Firefoxa i Chromea upozoravaju se da isključe alat za 3D renderiranje u svojim preglednicima nakon "značajnih" sigurnosnih problema.

Korisnici Chromea i Firefoxa upozorili su da isključe WebGL

Dio funkcionalnosti HTML5 Canvas, WebGL je mehanizam za renderiranje koji omogućuje 3D slike i animacije bez dodataka. Koristi se u najnovijim verzijama Chromea i Firefoxa, kao i u najnovijim verzijama Safarija.

Sigurnosna tvrtka Context upozorila je da je specifikacija "inherentno nesigurna".

“Rizici proizlaze iz činjenice da većina grafičkih kartica i upravljačkih programa nije napisana sa sigurnošću na umu tako da sučelje (API) koje izlažu pretpostavlja da se aplikacijama vjeruje,” kaže Michael Jordon, voditelj istraživanja i razvoja u Contextu.

“Iako to može vrijediti za lokalne aplikacije, korištenje aplikacija temeljenih na WebGL-u s određenim grafičkim karticama sada predstavlja ozbiljne prijetnje od kršenja načela sigurnosti među domenama do napada uskraćivanja usluge, što može dovesti do potpunog iskorištavanja stroj korisnika.”

Ovu zabrinutost s WebGL-om podržao je američki tim za pripravnost na računalne hitne slučajeve (CERT), savjetnik savezne vlade za kibernetičku sigurnost. Američki CERT upozorio je da WebGL sadrži "više značajnih sigurnosnih problema" i savjetovao je korisnicima da ga isključe.

“Utjecaj ovih problema uključuje proizvoljno izvršenje koda, uskraćivanje usluge i napade na više domena”, rekao je američki CERT, upozoravajući korisnike da “onemoguće WebGL kako bi ublažili rizike”.

Kako isključiti WebGL

Evo kako isključiti WebGL (hvala TechDows-u na uputama).

U Chromeu:

  • desnom tipkom miša kliknite prečac Chrome
  • kliknite svojstva
  • upišite -disable-webgl u ciljno polje nakon retka Chrome.exe (…chrome.exe -disable-webgl)
  • kliknite primijeniti

Kako isključiti WebGL u Firefoxu 4:

  • upišite "about:config" u adresnu traku
  • pristati na poruku upozorenja "ovdje biti zmajevi".
  • upišite "webgl" u polje Filter
  • dvaput kliknite "webgl.disable" tako da se vrijednost promijeni u "true"
  • ponovno pokrenite preglednik

Još uvijek čekamo potvrdu od Googlea i Mozille o tome hoće li onemogućavanje WebGL-a na ove načine biti dovoljna zaštita.