Os usuários do Firefox e do Chrome estão sendo avisados para desligar uma ferramenta de renderização 3D em seus navegadores devido a problemas de segurança “significativos”.
Parte da funcionalidade do HTML5 Canvas, o WebGL é um mecanismo de renderização que permite imagens e animações 3D sem plug-ins. Ele é usado nas versões mais recentes do Chrome e do Firefox, bem como nas compilações mais recentes do Safari.
A empresa de segurança Context alertou que a especificação é “inerentemente insegura”.
“Os riscos decorrem do fato de que a maioria das placas gráficas e drivers não foram escritos com a segurança em mente, de modo que a interface (API) que eles expõem assume que os aplicativos são confiáveis”, disse Michael Jordon, gerente de pesquisa e desenvolvimento da Context.
“Embora isso possa ser verdade para aplicativos locais, o uso de aplicativos baseados em navegador habilitados para WebGL com certas placas gráficas agora representa sérias ameaças, desde quebrar o princípio de segurança de domínio cruzado a ataques de negação de serviço, potencialmente levando à exploração total de a máquina de um usuário. ”
Essas preocupações com o WebGL foram apoiadas pela Equipe de Preparação para Emergências de Computadores dos EUA (CERT), o consultor de segurança cibernética do governo federal. O US CERT avisou que o WebGL contém “vários problemas de segurança significativos” e aconselhou os usuários a desligá-lo.
“O impacto desses problemas inclui execução de código arbitrário, negação de serviço e ataques entre domínios”, disse o US CERT, alertando os usuários para “desativar o WebGL para ajudar a mitigar os riscos”.
Como desligar o WebGL
Veja como desligar o WebGL (obrigado TechDows pelas instruções).
No Chrome:
- clique com o botão direito no atalho do Chrome
- clique em propriedades
- digite -disable-webgl no campo de destino após a linha Chrome.exe (… chrome.exe -disable-webgl)
- clique em aplicar
Como desligar o WebGL no Firefox 4:
- digite “about: config” na barra de endereço
- concordar com a mensagem de aviso “aqui estão dragões”
- digite “webgl” no campo Filtro
- clique duas vezes em “webgl.disable” para que o valor mude para “true”
- reinicie o navegador
Ainda estamos aguardando a confirmação do Google e da Mozilla sobre se desativar o WebGL dessas formas será proteção suficiente.