[新聞] 資安公司:WebGL有嚴重瑕疵,Firefox/Chrome恐受害
英國資安顧問公司Contextis發表一份報告指出,WebGL在架構上有瑕疵,可能讓駭客夾帶惡意程式,導致系統當機或遭控制。
WebGL將Javascript功能延伸到3D,讓網頁直接可以在瀏覽器上直接執行3D繪圖功能。目前在Firefox 4、Chrome、Safari等新一代瀏覽器均支援WebGL功能。其中Firefox及Chrome皆預設為WebGL開啟,Safari則需要另外設定。
該份報告指出,一般瀏覽器不會接觸系統的硬體,但WebGL容許瀏覽器使用繪圖處理器的加速運算功能來運算3D畫面,因此網頁可以藉此使用繪圖處理器的功能。問題在於繪圖處理器的驅動程式、應用程式介面都沒考量到資安問題,因此網頁夾帶惡意內容時,可能透過WebGL使用繪圖處理器時,誘發系統產生錯誤,導致系統當機或遭挾持等問題。
Contextis沒有說明WebGL瑕疵的詳細資料,但表示已經驗證過這種概念。他們使用WebGL網頁瀏覽器開啟電腦內的惡意網頁,發現可以突破跨網域原則,充分利用繪圖處理器的威力進行運算而讓用戶無法控制電腦。
Contextis指出,這是WebGL的架構問題,所以除非重新設計整個WebGL架構,瀏覽器很難修補這些漏洞,不過用戶可以先將瀏覽器的WebGL功能關閉以避開風險。(編譯/沈經)
轉自:
http://www.ithome.com.tw/itadm/article.php?c=67515
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 211.20.88.214
推
05/12 13:15, , 1F
05/12 13:15, 1F
推
05/12 13:26, , 2F
05/12 13:26, 2F
推
05/12 13:45, , 3F
05/12 13:45, 3F
→
05/12 17:09, , 4F
05/12 17:09, 4F
推
05/12 19:12, , 5F
05/12 19:12, 5F
推
05/12 23:21, , 6F
05/12 23:21, 6F
推
05/13 00:12, , 7F
05/13 00:12, 7F
推
05/13 00:14, , 8F
05/13 00:14, 8F
→
05/13 00:35, , 9F
05/13 00:35, 9F
→
05/17 00:03, , 10F
05/17 00:03, 10F
→
05/17 00:04, , 11F
05/17 00:04, 11F