WebGL有严重瑕疵 Firefox/Chrome将受其害

5月11日消息,据国外媒体报道,英国安全顾问公司Contextis发表一份报告指出,WebGL在架构上有漏洞,可能给黑客进行恶意程式以可乘之机,导致系统宕机或遭控制。

WebGL将Javascript的功能延伸到3D,让网页直接可以在浏览器上直接执行的3D绘图功能。目前在Firefox 4,Chrome,Safari等新一代浏览器均支持WebGL功能。其中火狐及Chrome的都预设为开启的WebGL,Safari浏览器则需要另外设定。

该份报告指出,一般浏览器不会接触系统的硬件,但WebGL的允许浏览器使用绘图处理器的加速运算功能来运算3D画面,因此网页可以借此使用绘图处理器的功能。问题在于绘图处理器的驱动程序,应用程序界面都没考虑到安全问题,因此网页夹带恶意内容时,可能通过WebGL使用绘图处理器时,引发系统产生错误,导致系统宕机或遭挟持等问题。

Contextis没有说明WebGL漏洞的详细资料,但表示已经验证过这种概念。他们使用WebGL的网页浏览器开启电脑内的恶意网页,发现可以突破跨网域原则,充分利用绘图处理器的功能进行运算而让用户无法控制电脑。

Contextis指出,这是的WebGL的架构问题,所以除非重新设计整个WebGL的架构,浏览器很难修补这些漏洞,不过用户可以先将浏览器的WebGL的功能关闭以避开风险。