Người dùng Firefox và Chrome đang được cảnh báo tắt công cụ kết xuất 3D trong trình duyệt của họ sau các sự cố bảo mật "nghiêm trọng".
Một phần của chức năng HTML5 Canvas, WebGL là công cụ kết xuất cho phép hình ảnh và hoạt ảnh 3D mà không cần plugin. Nó được sử dụng trong các phiên bản mới nhất của Chrome và Firefox, cũng như các phiên bản mới nhất của Safari.
Công ty bảo mật Context cảnh báo rằng đặc điểm kỹ thuật "vốn dĩ không an toàn".
Michael Jordon, Giám đốc nghiên cứu và phát triển tại Context cho biết: “Rủi ro xuất phát từ thực tế là hầu hết các cạc đồ họa và trình điều khiển không được chú ý đến bảo mật để giao diện (API) mà chúng hiển thị giả định rằng các ứng dụng được tin cậy”.
“Mặc dù điều này có thể đúng với các ứng dụng cục bộ, nhưng việc sử dụng các ứng dụng dựa trên trình duyệt hỗ trợ WebGL với một số cạc đồ họa nhất định hiện gây ra các mối đe dọa nghiêm trọng từ việc vi phạm nguyên tắc bảo mật tên miền chéo thành các cuộc tấn công từ chối dịch vụ, có khả năng dẫn đến việc khai thác triệt để máy của người dùng. ”
Những lo ngại đó với WebGL đã được hỗ trợ bởi Nhóm sẵn sàng khẩn cấp máy tính của Hoa Kỳ (CERT), cố vấn an ninh mạng của chính phủ liên bang. US CERT cảnh báo rằng WebGL chứa "nhiều vấn đề bảo mật quan trọng" và khuyên người dùng nên tắt nó đi.
“Tác động của những vấn đề này bao gồm thực thi mã tùy ý, từ chối dịch vụ và các cuộc tấn công tên miền chéo,” US CERT cho biết, cảnh báo người dùng “vô hiệu hóa WebGL để giúp giảm thiểu rủi ro”.
Cách tắt WebGL
Dưới đây là cách tắt WebGL (nhờ TechDows hướng dẫn).
Trong Chrome:
- nhấp chuột phải vào lối tắt Chrome
- nhấp chuột thuộc tính
- nhập -disable-webgl vào trường đích sau dòng Chrome.exe (… chrome.exe -disable-webgl)
- bấm vào áp dụng
Cách tắt WebGL trong Firefox 4:
- nhập “about: config” vào thanh địa chỉ
- đồng ý với thông báo cảnh báo "đây là những con rồng"
- nhập “webgl” vào trường Bộ lọc
- nhấp đúp vào “webgl.disable” để giá trị thay đổi thành “true”
- khởi động lại trình duyệt
Chúng tôi vẫn đang chờ xác nhận từ Google và Mozilla về việc tắt WebGL theo những cách này có được bảo vệ đầy đủ hay không.