Chrome- og Firefox-brukere advarte om å slå av WebGL

Firefox- og Chrome-brukere blir advart om å slå av et 3D-gjengivelsesverktøy i nettleserne sine etter "betydelige" sikkerhetsproblemer.

Chrome- og Firefox-brukere advarte om å slå av WebGL

En del av HTML5 Canvas-funksjonaliteten, WebGL er en gjengivelsesmotor som tillater 3D-bilder og animasjoner uten plugins. Den brukes i de nyeste versjonene av Chrome og Firefox, samt de nyeste versjonene av Safari.

Sikkerhetsfirmaet Context advarte om at spesifikasjonen er "iboende usikker".

"Risikoen stammer fra det faktum at de fleste grafikkort og drivere ikke er skrevet med sikkerhet i tankene, slik at grensesnittet (API) de eksponerer forutsetter at applikasjonene er klarert," sier Michael Jordon, forsknings- og utviklingssjef i Context.

"Selv om dette kan være sant for lokale applikasjoner, utgjør bruken av WebGL-aktiverte nettleserbaserte applikasjoner med visse grafikkort nå alvorlige trusler fra å bryte sikkerhetsprinsippet på tvers av domener til tjenestenektangrep, noe som potensielt kan føre til full utnyttelse av en brukers maskin."

Disse bekymringene med WebGL har blitt støttet av US Computer Emergency Readiness Team (CERT), den føderale regjeringens cybersikkerhetsrådgiver. US CERT advarte om at WebGL inneholder "flere betydelige sikkerhetsproblemer", og rådet brukere til å slå den av.

"Konsekvensen av disse problemene inkluderer kjøring av vilkårlig kode, tjenestenekt og angrep på tvers av domener," sa US CERT, og advarte brukere om å "deaktivere WebGL for å redusere risikoen".

Slik slår du av WebGL

Slik slår du av WebGL (takk til TechDows for instruksjonene).

I Chrome:

  • høyreklikk på Chrome-snarveien
  • klikk egenskaper
  • skriv -disable-webgl i målfeltet etter Chrome.exe-linjen (...chrome.exe -disable-webgl)
  • klikk på bruk

Slik slår du av WebGL i Firefox 4:

  • skriv "about:config" i adressefeltet
  • godta advarselsmeldingen "her er drager".
  • skriv "webgl" i Filter-feltet
  • dobbeltklikk "webgl.disable" slik at verdien endres til "true"
  • start nettleseren på nytt

Vi venter fortsatt på bekreftelse fra Google og Mozilla på om deaktivering av WebGL på disse måtene vil være tilstrekkelig beskyttelse.