[新聞] 資安公司:WebGL有嚴重瑕疵,Firefox/Chrome恐受害

看板Browsers作者 (吐司)時間13年前 (2011/05/12 04:14), 編輯推噓7(704)
留言11則, 10人參與, 最新討論串1/1
英國資安顧問公司Contextis發表一份報告指出,WebGL在架構上有瑕疵,可能讓駭客夾帶惡意程式,導致系統當機或遭控制。 WebGL將Javascript功能延伸到3D,讓網頁直接可以在瀏覽器上直接執行3D繪圖功能。目前在Firefox 4、Chrome、Safari等新一代瀏覽器均支援WebGL功能。其中Firefox及Chrome皆預設為WebGL開啟,Safari則需要另外設定。 該份報告指出,一般瀏覽器不會接觸系統的硬體,但WebGL容許瀏覽器使用繪圖處理器的加速運算功能來運算3D畫面,因此網頁可以藉此使用繪圖處理器的功能。問題在於繪圖處理器的驅動程式、應用程式介面都沒考量到資安問題,因此網頁夾帶惡意內容時,可能透過WebGL使用繪圖處理器時,誘發系統產生錯誤,導致系統當機或遭挾持等問題。 Contextis沒有說明WebGL瑕疵的詳細資料,但表示已經驗證過這種概念。他們使用WebGL網頁瀏覽器開啟電腦內的惡意網頁,發現可以突破跨網域原則,充分利用繪圖處理器的威力進行運算而讓用戶無法控制電腦。 Contextis指出,這是WebGL的架構問題,所以除非重新設計整個WebGL架構,瀏覽器很難修補這些漏洞,不過用戶可以先將瀏覽器的WebGL功能關閉以避開風險。(編譯/沈經) 轉自: http://www.ithome.com.tw/itadm/article.php?c=67515 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 211.20.88.214
05/12 13:15, , 1F
OP表示:還好我沒支援
05/12 13:15, 1F
05/12 13:26, , 2F
唉... 好像安全和便利始終難以兼顧
05/12 13:26, 2F
05/12 13:45, , 3F
這下想推純 Web App 的 Google 可要傷腦筋了
05/12 13:45, 3F
05/12 17:09, , 4F
OP:幸好我早有先見之明不支援
05/12 17:09, 4F
05/12 19:12, , 5F
Angry Birds表示:
05/12 19:12, 5F
05/12 23:21, , 6F
Angry Birds表示:
05/12 23:21, 6F
05/13 00:12, , 7F
幸好還在用fx 3.6
05/13 00:12, 7F
05/13 00:14, , 8F
OP:反正又沒有我的新聞 習慣了~
05/13 00:14, 8F
05/13 00:35, , 9F
樓上XD
05/13 00:35, 9F
05/17 00:03, , 10F
Google Chrome應該算還好,因為所有的分頁都會以sandbox
05/17 00:03, 10F
05/17 00:04, , 11F
處理。
05/17 00:04, 11F
更多 anyway02 的文章
文章代碼(AID): #1DokuVXt (Browsers)