Používatelia prehliadačov Firefox a Chrome sú upozornení, aby po „významných“ problémoch so zabezpečením vypli nástroj na vykresľovanie 3D vo svojich prehliadačoch.
WebGL je vykresľovací nástroj, ktorý je súčasťou funkcie HTML5 Canvas a umožňuje 3D obrázky a animácie bez doplnkov. Používa sa v najnovších verziách prehliadačov Chrome a Firefox, ako aj v najnovších zostavách Safari.
Bezpečnostná firma Context varovala, že špecifikácia je „vo svojej podstate neistá“.
„Riziká vyplývajú zo skutočnosti, že väčšina grafických kariet a ovládačov nebola napísaná s ohľadom na bezpečnosť, takže rozhranie (API), ktoré odhaľujú, predpokladá, že aplikácie sú dôveryhodné,“ hovorí Michael Jordon, manažér výskumu a vývoja v spoločnosti Context.
„Aj keď to môže platiť pre lokálne aplikácie, používanie aplikácií založených na prehliadači s podporou WebGL s určitými grafickými kartami teraz predstavuje vážne hrozby od prelomenia princípu bezpečnosti medzi doménami až po útoky odmietnutia služby, čo môže viesť k plnému využitiu stroj používateľa“.
Tieto obavy súvisiace s WebGL podporil americký tím pre počítačovú pohotovosť (CERT), poradca federálnej vlády pre kybernetickú bezpečnosť. US CERT varoval, že WebGL obsahuje „viacero významných bezpečnostných problémov“ a odporučil používateľom, aby ho vypli.
"Vplyv týchto problémov zahŕňa svojvoľné spustenie kódu, odmietnutie služby a útoky medzi doménami," uviedol US CERT a varoval používateľov, aby "zakázali WebGL, aby pomohli zmierniť riziká".
Ako vypnúť WebGL
Tu je návod, ako vypnúť WebGL (vďaka TechDows za pokyny).
V prehliadači Chrome:
- kliknite pravým tlačidlom myši na skratku prehliadača Chrome
- vlastnosti kliknutia
- napíšte -disable-webgl do cieľového poľa za riadok Chrome.exe (…chrome.exe -disable-webgl)
- kliknite na použiť
Ako vypnúť WebGL vo Firefoxe 4:
- do panela s adresou napíšte „about:config“.
- súhlaste s varovnou správou „tu sú draci“.
- do poľa Filter zadajte „webgl“.
- dvakrát kliknite na „webgl.disable“, aby sa hodnota zmenila na „true“
- reštartujte prehliadač
Stále čakáme na potvrdenie od Google a Mozilly, či zakázanie WebGL týmito spôsobmi bude dostatočnou ochranou.