US Computer Emergency Readiness Team советует пользователям браузеров Mozilla
Firefox и Google Chrome отключить недавно добавленный графический движок,
который может использоваться для того, чтобы контролировать компьютеры конечных
пользователей.
Веб-стандарт, известный как WebGL, открывает браузеры для серьезных атак,
включая удаленное выполнение вредоносного кода - недавно предупредила
независимая консалтинговая компания Context Information Security. Технология
дебютировала в браузере Chrome 9 и была добавлена в недавно выпущенный Firefox
4. Также WebGL присутствует в Opera и Apple Safari.
"Основываясь на этом исследовании, Context не верит, что WebGL действительно
готов для массового использования", - написал исследователь компании Context
Джеймс Форшо. "Поэтому Context рекомендует пользователям и корпоративным
ИТ-менеджерам рассмотреть вариант отключения WebGL в своих браузерах".
Технология предназначена для отображения 3D-графики и позволяет браузеру
получить доступ к графическому оборудованию компьютера. До сих пор безопасность
передачи графики не являлась большой проблемой, но широкая доступность WebGL
должна изменить эту ситуацию. Злонамеренные веб-мастера могут использовать
слабые места стандарта для того, чтобы вызывать появление печально известного
синего экрана смерти, воровать потенциально важные данные или выполнять
вредоносные программы на компьютере конечного пользователя.
Представитель Google не выдвинул претензий к докладу Context, но предложил
следующее:
Многие части стека WebGL, включая работу с GPU, работают отдельными
процессами и изолированы в Chrome для того, чтобы предотвратить различного рода
атаки. Чтобы помочь предотвратить атаки низкого уровня, мы работаем с
поставщиками железа, ОС и драйверов для проактивного отключения небезопасных
конфигураций и помощи им в повышении надежности работы.
Я бы также отметил, что Chrome не работает на некоторых конфигурациях
систем, если выявлены проблемы с объектами более низкого уровня. Это является
ключевым промежуточным шагом для защиты пользователей Chrome.
Представитель не сказал, достаточно ли этих мер для того, чтобы предотвратить
эксплуатацию уязвимостей WebGL, описанных Context, в Chrome.
Представитель Khronos Group, которая поддерживает стандарт WebGL, также не
прокомментировала непосредственно доклад Context. Вместо этого она
сослалась на официальное заявление, в котором говорилось, что графический
процессор поставляется с расширением, которое "специально разработано для
предотвращения отказа в обслуживании и атак с целью доступа к памяти из
контекста WebGL".
Расширение, известное как GL_ARB_robustness, " уже внедрено некоторыми
производителями GPU и Khronos предполагает, что оно будет быстро запущено и
другими", говорится в заявлении. "Браузеры могут проверять наличие этого
расширения до включения WebGL. Это, вероятно, станет способом работы WebGL в
ближайшем будущем".
В заявлении не назывались имена производителей и не говорилось о том, какой
из них процент использует подсистему безопасности.
Во вторник члены US-CERT повторили рекомендацию отключить WebGL. Пока ни
Context, ни CERT не дали инструкций по отключению стандарта в различных
браузерах.
Но сделать это просто. В Firefox 4 напечатай в адресной строке " about:config
" (без кавычек) и установи webgl.disabled в true. В Chrome доберись до командной
строки операционной системы и добавь --disable-webgl параметр для Chrome. На
компьютере Windows в командной строке будет "chrome.exe - --disable-webgl".
