משתמשי פיירפוקס וכרום מוזהרים לכבות כלי עיבוד תלת מימד בדפדפנים שלהם בעקבות בעיות אבטחה "משמעותיות".
חלק מהפונקציונליות של HTML5 Canvas, WebGL הוא מנוע עיבוד המאפשר תמונות ואנימציות תלת ממדיות ללא תוספים. הוא נמצא בשימוש בגרסאות האחרונות של Chrome ו-Firefox, כמו גם בגירסאות החדשות ביותר של Safari.
חברת האבטחה Context הזהירה כי המפרט "בלתי מאובטח מטבעו".
"הסיכונים נובעים מהעובדה שרוב כרטיסי המסך והדרייברים לא נכתבו מתוך מחשבה על אבטחה, כך שהממשק (API) שהם חושפים מניח שהיישומים מהימנים", אומר מייקל ג'ורדון, מנהל מחקר ופיתוח ב-Context.
"למרות שזה עשוי להיות נכון עבור יישומים מקומיים, השימוש ביישומים מבוססי-דפדפן התומכים ב-WebGL עם כרטיסים גרפיים מסוימים מהווה כעת איומים רציניים משבירה של עקרון האבטחה בין התחומים ועד להתקפות מניעת שירות, שעלול להוביל לניצול מלא של מכונה של משתמש."
החששות הללו עם WebGL זכו לגיבוי על ידי צוות המוכנות למחשוב חירום בארה"ב (CERT), יועץ אבטחת הסייבר של הממשל הפדרלי. US CERT הזהיר כי WebGL מכיל "מספר בעיות אבטחה משמעותיות", והמליץ למשתמשים לכבות אותו.
"ההשפעה של נושאים אלה כוללת ביצוע קוד שרירותי, מניעת שירות והתקפות חוצות דומיינים", אמר CERT האמריקאי, והזהיר את המשתמשים "להשבית את WebGL כדי לעזור להפחית את הסיכונים".
כיצד לכבות את WebGL
הנה איך לכבות את WebGL (תודה ל-TechDows על ההוראות).
בכרום:
- לחץ לחיצה ימנית על קיצור הדרך של Chrome
- לחץ על מאפיינים
- הקלד -disable-webgl בשדה היעד אחרי השורה Chrome.exe (...chrome.exe -disable-webgl)
- לחץ על החל
כיצד לכבות את WebGL בפיירפוקס 4:
- הקלד "about:config" בשורת הכתובת
- מסכים להודעת האזהרה "הנה דרקונים".
- הקלד "webgl" בשדה מסנן
- לחץ פעמיים על "webgl.disable" כך שהערך ישתנה ל-"true"
- הפעל מחדש את הדפדפן
אנו עדיין ממתינים לאישור מגוגל ומוזילה אם השבתת WebGL בדרכים אלו תהיה הגנה מספקת.