WebGL有嚴(yán)重瑕疵,Firefox/Chrome將受其害

Win7之家（ m.airtaxifl.com）：WebGL有嚴(yán)重瑕疵,Firefox/Chrome將受其害

　　5月11日消息，據(jù)國(guó)外媒體報(bào)道，英國(guó)安全顧問(wèn)公司Contextis發(fā)表一份報(bào)告指出，WebGL在架構(gòu)上有漏洞，可能給黑客進(jìn)行惡意程式以可乘之機(jī)，導(dǎo)致系統(tǒng)宕機(jī)或遭控制。

　　WebGL將Javascript的功能延伸到3D，讓網(wǎng)頁(yè)直接可以在瀏覽器上直接執(zhí)行的3D繪圖功能。目前在Firefox 4，Chrome，Safari等新一代瀏覽器均支持WebGL功能。其中火狐及Chrome的都預(yù)設(shè)為開(kāi)啟的WebGL，Safari瀏覽器則需要另外設(shè)定。

　　該份報(bào)告指出，一般瀏覽器不會(huì)接觸系統(tǒng)的硬件，但WebGL的允許瀏覽器使用繪圖處理器的加速運(yùn)算功能來(lái)運(yùn)算3D畫(huà)面，因此網(wǎng)頁(yè)可以借此使用繪圖處理器的功能。問(wèn)題在于繪圖處理器的驅(qū)動(dòng)程序，應(yīng)用程序界面都沒(méi)考慮到安全問(wèn)題，因此網(wǎng)頁(yè)夾帶惡意內(nèi)容時(shí)，可能通過(guò)WebGL使用繪圖處理器時(shí)，引發(fā)系統(tǒng)產(chǎn)生錯(cuò)誤，導(dǎo)致系統(tǒng)宕機(jī)或遭挾持等問(wèn)題。

　　Contextis沒(méi)有說(shuō)明WebGL漏洞的詳細(xì)資料，但表示已經(jīng)驗(yàn)證過(guò)這種概念。他們使用WebGL的網(wǎng)頁(yè)瀏覽器開(kāi)啟電腦內(nèi)的惡意網(wǎng)頁(yè)，發(fā)現(xiàn)可以突破跨網(wǎng)域原則，充分利用繪圖處理器的功能進(jìn)行運(yùn)算而讓用戶無(wú)法控制電腦。

　　Contextis指出，這是的WebGL的架構(gòu)問(wèn)題，所以除非重新設(shè)計(jì)整個(gè)WebGL的架構(gòu)，瀏覽器很難修補(bǔ)這些漏洞，不過(guò)用戶可以先將瀏覽器的WebGL的功能關(guān)閉以避開(kāi)風(fēng)險(xiǎn)。