Трехмерный API-интерфейс WebGL опасен, считает Microsoft

Опубликовано: 06.10.2017

Оставленная 16 июня группой инжиниринга из центра безопасности Microsoft (Microsoft Security Response Center, MSRC) запись в блоге поясняет, почему в настоящее время Microsoft не планирует поддерживать API-интерфейс WebGL, уже реализованный в браузерах Firefox и Chrome, в т. ч. в их версиях для Linux, а также в версиях Opera и Safari для разработчиков. Группа пишет: “Мы считаем, что WebGL, вероятно, станет постоянным источником трудно устранимых уязвимостей. Именно поэтому в своем нынешнем виде WebGL не является такой технологией, которую Microsoft может поддерживать”.

Это стало ударом для некоммерческого консорциума Khronos Group, который перенял у фонда Mozilla Foundation разработку WebGL и ранее в этом году выпустил версию 1.0.

Группа характеризует WebGL как “предназначенный для Интернета API-интерфейс трехмерного рендеринга в непосредственном режиме. Он является ответвлением OpenGL ES 2.0 и обеспечивает сходные функции рендеринга, но в контексте HTML”.

Иными словами, WebGL представляет собой элемент контекста Canvas HTML, предоставляющий API-интерфейс трехмерной графики без использования плагинов. Потенциально он позволяет веб-браузерам отображать трехмерную графику как в компьютерной игре.

Но, считает Microsoft, поскольку эта технология предоставляет веб-сайтам прямой доступ к низкоуровневым аппаратным графическим функциям, с ее помощью можно делать некоторые гадости. Корпорация ссылается на продолжающуюся работу лондонской консультативной фирмы Context Information Security. В мае та опубликовала запись в блоге о том, что сумела создать веб-страницы, вызывающие с помощью WebGL аварийное завершение работы компьютеров посетителей.

В записи от 16 июня Context утверждает, что вредоносные веб-сайты могут также использовать WebGL для считывания содержания графической памяти. Как показано на иллюстрации, это позволяет украсть любые данные, которые выводятся на экран пользователя.

www.musicindetails.ru Powered by © 2013
rss