S'adverteix als usuaris de Firefox i Chrome que desactivin una eina de representació en 3D als seus navegadors després de problemes de seguretat "importants".
Part de la funcionalitat HTML5 Canvas, WebGL és un motor de renderització que permet imatges i animacions en 3D sense connectors. S'utilitza a les últimes versions de Chrome i Firefox, així com a les versions més recents de Safari.
L'empresa de seguretat Context va advertir que l'especificació és "inherentment insegura".
"Els riscos provenen del fet que la majoria de targetes gràfiques i controladors no s'han escrit tenint en compte la seguretat, de manera que la interfície (API) que exposen suposa que les aplicacions són de confiança", diu Michael Jordon, director d'investigació i desenvolupament de Context.
"Tot i que això pot ser cert per a les aplicacions locals, l'ús d'aplicacions basades en navegador habilitats per WebGL amb certes targetes gràfiques ara suposa serioses amenaces des de trencar el principi de seguretat entre dominis fins a atacs de denegació de servei, que pot conduir a l'explotació total de la màquina d'un usuari".
Aquestes preocupacions amb WebGL han estat recolzades per l'equip de preparació per a emergències informàtiques dels EUA (CERT), l'assessor de ciberseguretat del govern federal. El CERT dels EUA va advertir que WebGL conté "diversos problemes de seguretat significatius" i va aconsellar als usuaris que el desactivin.
"L'impacte d'aquests problemes inclou l'execució de codi arbitrari, la denegació de servei i els atacs entre dominis", va dir el CERT dels EUA, advertint als usuaris que "desactivin WebGL per ajudar a mitigar els riscos".
Com desactivar WebGL
A continuació s'explica com desactivar WebGL (gràcies a TechDows per les instruccions).
A Chrome:
- feu clic amb el botó dret a la drecera de Chrome
- feu clic a propietats
- escriviu -disable-webgl al camp de destinació després de la línia Chrome.exe (...chrome.exe -disable-webgl)
- feu clic a aplicar
Com desactivar WebGL a Firefox 4:
- escriviu "about:config" a la barra d'adreces
- accepteu el missatge d'advertència "aquí hi ha dracs".
- escriviu "webgl" al camp Filtre
- Feu doble clic a "webgl.disable" perquè el valor canviï a "true"
- reinicieu el navegador
Encara estem esperant la confirmació de Google i Mozilla sobre si desactivar WebGL d'aquestes maneres serà suficient protecció.