資安公司：WebGL有嚴重瑕疵，Firefox/Chrome恐受害

英國資安顧問公司Contextis發表一份報告指出，WebGL在架構上有瑕疵，可能讓駭客夾帶惡意程式，導致系統當機或遭控制。

WebGL將Javascript功能延伸到3D，讓網頁直接可以在瀏覽器上直接執行3D繪圖功能。目前在Firefox 4、Chrome、Safari等新一代瀏覽器均支援WebGL功能。其中Firefox及Chrome皆預設為WebGL開啟，Safari則需要另外設定。

該份報告指出，一般瀏覽器不會接觸系統的硬體，但WebGL容許瀏覽器使用繪圖處理器的加速運算功能來運算3D畫面，因此網頁可以藉此使用繪圖處理器的功能。問題在於繪圖處理器的驅動程式、應用程式介面都沒考量到資安問題，因此網頁夾帶惡意內容時，可能透過WebGL使用繪圖處理器時，誘發系統產生錯誤，導致系統當機或遭挾持等問題。

Contextis沒有說明WebGL瑕疵的詳細資料，但表示已經驗證過這種概念。他們使用WebGL網頁瀏覽器開啟電腦內的惡意網頁，發現可以突破跨網域原則，充分利用繪圖處理器的威力進行運算而讓用戶無法控制電腦。

Contextis指出，這是WebGL的架構問題，所以除非重新設計整個WebGL架構，瀏覽器很難修補這些漏洞，不過用戶可以先將瀏覽器的WebGL功能關閉以避開風險。（編譯/沈經）