Pengguna Chrome dan Firefox memberi amaran untuk mematikan WebGL

Pengguna Firefox dan Chrome diberi amaran untuk mematikan alat rendering 3D di penyemak imbas mereka berikutan masalah keselamatan yang "ketara".

Pengguna Chrome dan Firefox memberi amaran untuk mematikan WebGL

Sebahagian daripada fungsi Canvas HTML5, WebGL adalah mesin rendering yang membolehkan gambar dan animasi 3D tanpa pemalam. Ia digunakan dalam versi terbaru Chrome dan Firefox, serta versi terbaru Safari.

Firma keselamatan Context memberi amaran bahawa spesifikasi itu “tidak selamat”.

"Risiko berasal dari kenyataan bahawa kebanyakan kad grafik dan pemacu belum ditulis dengan mempertimbangkan keselamatan sehingga antara muka (API) yang mereka dedahkan mengandaikan bahawa aplikasi tersebut dapat dipercaya," kata Michael Jordon, Pengurus penyelidikan dan pengembangan di Context.

"Walaupun ini mungkin berlaku untuk aplikasi tempatan, penggunaan aplikasi berasaskan penyemak imbas berkemampuan WebGL dengan kad grafik tertentu kini menimbulkan ancaman serius dari melanggar prinsip keselamatan lintas domain hingga serangan penolakan perkhidmatan, yang berpotensi menyebabkan eksploitasi penuh mesin pengguna. "

Keprihatinan berkenaan WebGL telah disokong oleh Pasukan Kesediaan Kecemasan Komputer AS (CERT), penasihat keselamatan siber kerajaan persekutuan. US CERT memberi amaran bahawa WebGL mengandungi "banyak masalah keselamatan yang penting", dan menasihatkan pengguna untuk mematikannya.

"Kesan dari isu-isu ini termasuk pelaksanaan kod sewenang-wenang, penolakan perkhidmatan, dan serangan silang domain," kata US CERT, memperingatkan pengguna untuk "menonaktifkan WebGL untuk membantu mengurangkan risiko".

Cara mematikan WebGL

Inilah cara mematikan WebGL (terima kasih kepada TechDows atas arahannya).

Di Chrome:

  • klik kanan pada pintasan Chrome
  • klik sifat
  • ketik -disable-webgl ke medan sasaran selepas baris Chrome.exe (… chrome.exe -disable-webgl)
  • klik terpakai

Cara mematikan WebGL di Firefox 4:

  • taip "about: config" ke dalam bar alamat
  • bersetuju dengan mesej amaran "di sini menjadi naga"
  • taip "webgl" ke dalam bidang Penapis
  • klik dua kali "webgl.disable" sehingga nilainya berubah menjadi "true"
  • mulakan semula penyemak imbas

Kami masih menunggu pengesahan dari Google dan Mozilla mengenai apakah melumpuhkan WebGL dengan cara ini akan menjadi perlindungan yang mencukupi.