WebGL架構瑕疵衝擊Firefox及Chrome

獨立資安公司Context指出，瀏覽器上的WebGL瑕疵可能讓駭客擷取PC繪圖晶片中的記憶體資料，而讓使用者資料遭竊取，並建議使用者，在該問題解決以前，應當關閉該功能或是使用IE等未採用WebGL的瀏覽器。

WebGL是一種新的3D繪圖技術，讓網頁可以模擬電腦遊戲般執行3D繪圖，因此讓使用者得以體驗更豐富的3D繪圖功能。然而，Context指出。這也讓瀏覽器曝露出PC更底層的作業系統部份，較過去未使用該技術時更容易直接讓惡意程式存取到作業系統。

Context還指出，Khronos所建議的DoS（阻斷服務攻擊）防禦措施並不是那麼有效，因為只有特定的晶片組及作業系統（Windows及Linux平台的Nvidia）支援該功能。而且，它只能緩解問題，並無法徹底解決DoS問題。

Context還提供測試影片展示，當具備WebGL技術的Firefox 4連結到惡意的網頁之後，就可以直接擷取使用者電腦的桌面畫面。Context指出，可擷取的資料也可以是其他網頁，或是其他應用。因為這代表惡意程式可以直接攔截顯示卡內的記憶體。

為了解決該公司所提出的問題，各家瀏覽器均提出對策。Mozilla於 6/21推出的Firefox 5將停用WebGL中有問題的「跨域紋理」（Cross-domain textures）功能，Google昨日也在制定WebGL技術規範的組織khronos網站中表示，將在Chrome 13跟隨Mozilla腳步。被視為WebGL主要推手的蘋果公司，也在khronos網站中表示iOS 5不會開放WebGL功能給一般開發者，僅有iAD的開發人員可以使用相關功能。

微軟昨日也撰文指出，他們內部經過審核發現，如果在瀏覽器內支援WebGL，程式開發將無法通過微軟安全軟體開發週期中的要求，主要問題在WebGL讓網際網路上可以直接使用硬體加速的功能，其中許多資安問題需靠第三方解決，而且WebGL完全無法解除阻斷服務攻擊 (DoS)的狀態。微軟認為WebGL後續還會出現各種問題與漏洞。

在各家瀏覽器與khronos尚未解決WebGL架構問題前，資安專家建議企業及用戶應該先將瀏覽器中WebGL功能關閉，或者使用IE這類不支援WebGL的瀏覽器，以免遭受惡意網站的攻擊或竊取資料。（編譯/沈經）