Kontekstitietoturva on julkaissut blogissaan huolen WebGL: stä. Tätä tekniikkaa käytetään yhä enemmän 3D-grafiikassa verkossa, mutta Context Information Security sanoo, että Firefox-selaimen heikkous mahdollisti haittaohjelmien verkkosivujen kaappaamisen minkä tahansa kuvakaappauksen kohdetietokoneelta. Yritys väittää, ettei mikään nykyisistä toteutuksista ole WebGL-vaatimustenmukaisuusstandardien mukainen, mikä herättää vakavia kysymyksiä Khronosille, yhteenliittymälle, joka on laatinut WebGL-määrityksen ja vaatimustenmukaisuuden testit.
Turvayhtiö kertoo alkuperäisissä tutkimuksissaan "suunnittelutason tietoturvaongelmista, jotka tarjoavat" takaoven "käyttöjärjestelmän matalille osille joidenkin näytönohjainten kautta, joita ei koskaan suunniteltu suojaamaan tämäntyyppisiltä uhilta." että kumpikaan Firefox tai Chrome ei läpäise 144 Khronos-yhteensopivuustestiä WebGL: lle, mukaan lukien monet turvallisuuteen liittyvät.
"Vaikka Mozilla on ryhtynyt toimiin alkuperäisten haavoittuvuuksien lieventämiseksi ja korjaa tämän viimeisimmän uhan selaimensa uudessa versiossa, joka on tarkoitus julkaista 21. kesäkuuta, uskomme, että tämä on jäävuoren huippu tämän kypsymättömän tekniikan vaikeaan käyttöönottoon, jolloin käyttäjät jäävät haavoittuviksi ”, kertoo Contextin tutkimus- ja kehityspäällikkö Michael Jordon.
Hän myöntää, että olisi kohtuutonta odottaa kaikkien uusien standardien täydellisten vaatimusten noudattamista, mutta ehdottaa, että "jotkin WebGL: n alueet on pantava täytäntöön huolellisesti tietoturvaongelmien estämiseksi".
Jordon suosittelee WebGL: n poistamista käytöstä, kunnes tietoturva-aukkoja on korjattu, ja suosittelee tutkimaan Firefox NoScript -laajennuksen, jonka avulla voit poistaa WebGL: n valikoivasti.
