WebGL有严重瑕疵 Firefox/Chrome将受其害

5月11日消息，据国外媒体报道，英国安全顾问公司Contextis发表一份报告指出，WebGL在架构上有漏洞，可能给黑客进行恶意程式以可乘之机，导致系统宕机或遭控制。

WebGL将Javascript的功能延伸到3D，让网页直接可以在浏览器上直接执行的3D绘图功能。目前在Firefox 4，Chrome，Safari等新一代浏览器均支持WebGL功能。其中火狐及Chrome的都预设为开启的WebGL，Safari浏览器则需要另外设定。

该份报告指出，一般浏览器不会接触系统的硬件，但WebGL的允许浏览器使用绘图处理器的加速运算功能来运算3D画面，因此网页可以借此使用绘图处理器的功能。问题在于绘图处理器的驱动程序，应用程序界面都没考虑到安全问题，因此网页夹带恶意内容时，可能通过WebGL使用绘图处理器时，引发系统产生错误，导致系统宕机或遭挟持等问题。

Contextis没有说明WebGL漏洞的详细资料，但表示已经验证过这种概念。他们使用WebGL的网页浏览器开启电脑内的恶意网页，发现可以突破跨网域原则，充分利用绘图处理器的功能进行运算而让用户无法控制电脑。

Contextis指出，这是的WebGL的架构问题，所以除非重新设计整个WebGL的架构，浏览器很难修补这些漏洞，不过用户可以先将浏览器的WebGL的功能关闭以避开风险。