Firefox 和 Chrome 用户被警告在出现“重大”安全问题后关闭浏览器中的 3D 渲染工具。
作为 HTML5 Canvas 功能的一部分,WebGL 是一种渲染引擎,无需插件即可渲染 3D 图像和动画。它用于最新版本的 Chrome 和 Firefox,以及最新版本的 Safari。
安全公司 Context 警告说,该规范“本质上是不安全的”。
“风险源于这样一个事实,即大多数显卡和驱动程序的编写并没有考虑到安全性,因此它们公开的接口 (API) 假定应用程序是可信的,”Context 的研发经理 Michael Jordon 说。
“虽然对于本地应用程序来说可能是这样,但使用基于 WebGL 的基于浏览器的应用程序和某些显卡现在构成了严重的威胁,从破坏跨域安全原则到拒绝服务攻击,可能导致充分利用用户的机器。”
这些对 WebGL 的担忧得到了联邦政府网络安全顾问美国计算机应急准备小组 (CERT) 的支持。美国 CERT 警告说,WebGL 包含“多个重大安全问题”,并建议用户将其关闭。
“这些问题的影响包括任意代码执行、拒绝服务和跨域攻击,”美国 CERT 表示,并警告用户“禁用 WebGL 以帮助降低风险”。
如何关闭 WebGL
这是关闭 WebGL 的方法(感谢 TechDows 的说明)。
在 Chrome 中:
- 右键单击 Chrome 快捷方式
- 单击属性
- 在 Chrome.exe 行之后的目标字段中键入 -disable-webgl (...chrome.exe -disable-webgl)
- 点击申请
如何在 Firefox 4 中关闭 WebGL:
- 在地址栏中输入“about:config”
- 同意“这里有龙”警告信息
- 在过滤器字段中输入“webgl”
- 双击“webgl.disable”使值变为“true”
- 重新启动浏览器
我们仍在等待 Google 和 Mozilla 确认以这些方式禁用 WebGL 是否足以提供保护。