Веб-стандарт WebGL, поддержка которого включена по умолчанию в браузерах Firefox 4 и Google Chrome, имеет серьёзные проблемы с безопасностью, о чём заявило независимое консалтинговое агентство.
WebGL – программная технология, дающая возможность задействовать трёхмерную графику с аппаратным ускорением на веб-сайтах. Всё, что нужно для её отображения, – это лишь браузер с поддержкой данного стандарта. В настоящее время WebGL поддерживается в Firefox 4 и последних версиях Chrome, но вскоре мог быть реализован и разработчиками Opera и Safari.
Трёхмерная графика в окне браузера
Консультант агентства «Context Information Security» заявил, что имеется целый ряд серьёзных проблем, касающихся безопасности, которые не учтены в спецификации и реализациях WebGL. «Данные проблемы могут быть задействованы для проведения атаки с внедрением вредоносного кода через веб-браузер. При этом используется графический процессор (GPU) и драйвера. В результате атак на GPU через WebGL весь компьютер может стать непригодным для использования». В докладе не уточняется характер проблемы – означает это выход из строя аппаратной части ПК, как это было с «чернобыльским» вирусом, или серьёзный программный сбой.
Также имеются и другие опасности, связанные с WebGL и касающиеся пользовательских данных, конфиденциальности и безопасности. «Эти проблемы исходят из самой спецификации WebGL и требуют значительных архитектурных изменений в дизайне платформы. По сути, в настоящее время WebGL даёт возможность запускать из Интернета полноценные программы, задействующие графические драйвера и видеоускорители, делая последние незащищёнными от злоумышленников».
Консультант добавил, что WebGL уже применялся для атак типа «отказ в обслуживании», что было отмечено в отчётах о сбоях операционных систем. Вероятно, в дальнейшем количество проблем, связанных со стандартом, будет только возрастать.