webgl将javascript的功能延伸到3d,让网页直接可以在浏览器上直接执行的3d绘图功能。目前在firefox 4,chrome,safari等新一代浏览器均支持webgl功能。其中火狐及chrome的都预设为开启的webgl,safari浏览器则需要另外设定。 深圳芯胜达电子有限公司
该份报告指出,一般浏览器不会接触系统的硬件,但webgl的允许浏览器使用绘图处理器的加速运算功能来运算3d画面,因此网页可以借此使用绘图处理器的功能。问题在于绘图处理器的驱动程序,应用程序界面都没考虑到安全问题,因此网页夹带恶意内容时,可能通过webgl使用绘图处理器时,引发系统产生错误,导致系统宕机或遭挟持等问题。
contextis没有说明webgl漏洞的详细资料,但表示已经验证过这种概念。他们使用webgl的网页浏览器开启电脑内的恶意网页,发现可以突破跨网域原则,充分利用绘图处理器的功能进行运算而让用户无法控制电脑。
contextis指出,这是的webgl的架构问题,所以除非重新设计整个webgl的架构,浏览器很难修补这些漏洞,不过用户可以先将浏览器的webgl的功能关闭以避开风险。 英国安全顾问公司contextis发表一份报告指出,webgl在架构上有漏洞,可能给黑客进行恶意程式以可乘之机,导致系统宕机或遭控制。
