Se advierte a los usuarios de Firefox y Chrome que apaguen una herramienta de renderizado 3D en sus navegadores debido a problemas de seguridad "importantes".
Como parte de la funcionalidad HTML5 Canvas, WebGL es un motor de renderizado que permite imágenes y animaciones 3D sin complementos. Se utiliza en las últimas versiones de Chrome y Firefox, así como en las últimas versiones de Safari.
La empresa de seguridad Context advirtió que la especificación es "intrínsecamente insegura".
“Los riesgos surgen del hecho de que la mayoría de las tarjetas gráficas y los controladores no se han escrito pensando en la seguridad, por lo que la interfaz (API) que exponen asume que las aplicaciones son confiables”, dice Michael Jordon, gerente de investigación y desarrollo de Context.
“Si bien esto puede ser cierto para las aplicaciones locales, el uso de aplicaciones basadas en navegador habilitadas para WebGL con ciertas tarjetas gráficas ahora plantea serias amenazas desde romper el principio de seguridad entre dominios hasta ataques de denegación de servicio, lo que podría conducir a la explotación total de la máquina de un usuario ".
Esas preocupaciones con WebGL han sido respaldadas por el Equipo de Preparación para Emergencias Informáticas de EE. UU. (CERT), el asesor de ciberseguridad del gobierno federal. US CERT advirtió que WebGL contiene “múltiples problemas de seguridad importantes” y recomendó a los usuarios que lo apagaran.
“El impacto de estos problemas incluye ejecución de código arbitrario, denegación de servicio y ataques entre dominios”, dijo US CERT, advirtiendo a los usuarios que “deshabiliten WebGL para ayudar a mitigar los riesgos”.
Cómo apagar WebGL
A continuación, se explica cómo desactivar WebGL (gracias a TechDows por las instrucciones).
En Chrome:
- haga clic derecho en el acceso directo de Chrome
- haga clic en propiedades
- escriba -disable-webgl en el campo de destino después de la línea Chrome.exe (… chrome.exe -disable-webgl)
- haga clic en aplicar
Cómo desactivar WebGL en Firefox 4:
- escribe "about: config" en la barra de direcciones
- acepta el mensaje de advertencia "aquí hay dragones"
- escriba "webgl" en el campo Filtro
- haga doble clic en "webgl.disable" para que el valor cambie a "verdadero"
- retstart el navegador
Todavía estamos esperando la confirmación de Google y Mozilla sobre si deshabilitar WebGL de esta manera será una protección suficiente.