Веб-стандарт WebGL, поддержка которого включена по умолчанию в
браузерах Firefox 4 и Google Chrome, имеет серьёзные проблемы с
безопасностью, о чём заявило независимое консалтинговое агентство.
WebGL
– программная технология, дающая возможность задействовать трёхмерную
графику с аппаратным ускорением на веб-сайтах. Всё, что нужно для её
отображения, – это лишь браузер с поддержкой данного стандарта. В
настоящее время WebGL поддерживается в Firefox 4 и последних версиях
Chrome, но вскоре мог быть реализован и разработчиками Opera и Safari.
Трёхмерная графика в окне браузера
Консультант
агентства «Context Information Security» заявил, что имеется целый ряд
серьёзных проблем, касающихся безопасности, которые не учтены в
спецификации и реализациях WebGL. «Данные проблемы могут быть
задействованы для проведения атаки с внедрением вредоносного кода через
веб-браузер. При этом используется графический процессор (GPU) и
драйвера. В результате атак на GPU через WebGL весь компьютер может
стать непригодным для использования». В докладе не уточняется характер
проблемы – означает это выход из строя аппаратной части ПК, как это было
с «чернобыльским» вирусом, или серьёзный программный сбой.
Также
имеются и другие опасности, связанные с WebGL и касающиеся
пользовательских данных, конфиденциальности и безопасности. «Эти
проблемы исходят из самой спецификации WebGL и требуют значительных
архитектурных изменений в дизайне платформы. По сути, в настоящее время
WebGL даёт возможность запускать из Интернета полноценные программы,
задействующие графические драйвера и видеоускорители, делая последние
незащищёнными от злоумышленников».
Консультант добавил, что WebGL
уже применялся для атак типа «отказ в обслуживании», что было отмечено в
отчётах о сбоях операционных систем. Вероятно, в дальнейшем количество
проблем, связанных со стандартом, будет только возрастать.