WebGL : Mozilla donne la réplique à Microsoft

01 juin 2018 à 15h36
0
00B4000004058112-photo-webgl-logo-sq-gb.jpg
Face aux récents propos de Microsoft relatifs à l'insécurité de la technologie WebGL embarquée au sein des navigateurs, Mike Shaver, vice-président en charge de l'ingénierie chez Mozilla, argumente les choix établis pour Firefox.

En fin de semaine dernière, l'équipe du département de Microsoft Security avait expliqué via l'un de ses blogs les raisons pour lesquelles Microsoft avait choisi de favoriser sa technologie Direct3D au sein d'Internet Explorer plutôt que le standard WebGL. Établi par le groupe Khronos, WebGL permet de tirer parti de l'accélération matérielle pour le rendu des pages ainsi que pour afficher du contenu en 3D. Le système s'appuie sur l'usage du JavaScript afin de pouvoir communiquer avec les interfaces des pilotes Open GL ou OpenGL ES mises à disposition par les fabricants de cartes graphiques.

Microsoft revenait sur les découvertes du chercheur James Forshaw du cabinet de sécurité Context. Le mois dernier celui-ci déclarait qu'un script malveillant embarqué au sein d'un site Internet était suffisant pour mettre à mal un composant de la machine via un pilote non sécurisé ou présentant un bug. Une attaque pourrait alors être directement opérée sur la carte graphique et rendre l'ordinateur inutilisable. La firme de Redmond expliquait alors que les fabricants de cartes graphiques devraient mettre à disposition un système de mises à jour automatisées, Internet Explorer se présentant comme le vecteur potentiel d'une attaque.

01F4000004257086-photo-une-attaque-via-webgl.jpg


Face à cet argument Mike Shaver explique que si l'accélération matérielle est opérée par Direct3D au sein d'Internet Explorer et Silverlight sur Windows, le plugin s'appuierait sur OpenGL au sein de Mac OS X. Face à la responsabilité des fabricants de composants pointée par Microsoft, il ajoute : « au travers de nos discussions avec les développeurs de pilotes nous sommes rassurés de savoir que ces derniers, tout comme Microsoft, souhaitent proposer une solution sécurisée pour nos utilisateurs communs ». Mozilla bénéficierait par ailleurs de listes blanches des pilotes mises à jour régulièrement. Reste que vendredi dernier, une vulnérabilité précisément relative à l'implémentation de WebGL au sein de Firefox 4 avait été découverte et l'équipe de Mozilla Security conseillait alors de désactiver la technologie ou de migrer sur la version d'évaluation de Firefox 5.

Avi Bar-Zeev, Principal Architect chez Microsoft et spécialisé dans les technologies 3D, regrette les choix formulés par la société et affirme que Microsoft devra adopter WebGL. En revenant sur les débuts d'Active X, Il rappelle que l'équipe d'Internet Explorer fut la première à proposer des plugins afin d'enrichir les possibilités natives du navigateur. « A un moment, les plugins Active X était la principale vulnérabilité exploitée par les attaques sur le PC à partir du navigateur ». Il explique que ces attaques sont capables d'accéder aux composants de la machine avec des droits d'écritures sur le disque, et pouvant « lire vos données personnelles ou y laisser un virus ». Par opposition, WebGL n'est pas un plugin et ne peut ouvrir l'accès au disque dur, à la mémoire vive ou au processeur. « La vulnérabilité la plus sévère que nous connaissons aujourd'hui est le plantage de votre machine. Dans le pire des cas, il suffit de la redémarrer », conclut-il.
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Le portage de Chromium OS débute pour le Raspberry Pi
HTC One A9 : le faux jumeau de l'iPhone 6
Le créateur du Bitcoin n’est finalement pas celui que l’on croyait
On Refait le Mac : premières impressions sur l'iPhone 6
Infos US de la nuit : incertitudes sur la date de lancement de l'iPhone 6
Alimentation de 850 W pour le multi-GPU chez Corsair
De Facebook... à Sexebook, réseau social coquin ?
Test Internet Explorer 8 : le dernier IE avant la refonte
Test Internet Explorer 9 : un navigateur en net progrès
Test de Mozilla Firefox 4.0 : de retour au top ?
Haut de page