Microsoft pointe les vulnérabilités de WebGL

17 juin 2011 à 11h50
0
0096000003552702-photo-ie9-logo-mikeklo-clubic.jpg
La technologie WebGL verra-t-elle le jour au sein du navigateur Internet Explorer ? Probablement pas tout de suite. Microsoft estime en effet que la technologie n'est pas assez sécurisée.

Publiées au mois de mars dernier, les spécifications de WebGL 1.0 ont été mises en place par le groupe Khronos. Concrètement il s'agit d'une technologie s'appuyant sur l'usage de JavaScript afin de pouvoir communiquer avec les interfaces des pilotes Open GL ou OpenGL ES mises à disposition par les fabricants de cartes graphiques. Embarqué par défaut au sein de Firefox 4 et Chrome et disponible en option sur Safari, WebGL permet de tirer parti de l'accélération matérielle pour le rendu des pages ainsi que pour afficher du contenu en 3D. Pour l'heure Internet Explorer 9 utilise Direct3D.

L'équipe du département de Microsoft Security n'a cependant pas été convaincue et estime que WebGL, tel qu'il est finalisé aujourd'hui dans sa version 1.0, présente trop de risques de sécurité. La firme revient notamment sur la découverte du chercheur James Forshaw du cabinet de sécurité Context. Le mois dernier celui-ci déclarait qu'un script malveillant embarqué au sein d'un site Internet serait suffisant pour mettre à mal un composant de la machine via un pilote non sécurisé ou présentant un bug. Une attaque pourrait alors être directement opérée sur la carte graphique et rendre l'ordinateur inutilisable.

01F4000004257086-photo-une-attaque-via-webgl.jpg


Face à ce problème Microsoft déclare : « nous nous attendons à trouver des bugs qui n'existent que sur certaines plateformes ou certaines cartes graphiques, facilitant alors les attaques ciblées ».

Aussi Microsoft précise que les failles exploitées ne proviennent pas du navigateur mais bien du pilote de la carte écrit par les constructeurs tels que ATI, Nvidia ou encore Intel. Aussi il deviendrait plus difficile de sécuriser la machine d'un utilisateur. « Sans un modèle de service de sécurité efficace pour les pilotes de cartes graphiques, les utilisateurs doivent choisir entre passer outre la protection afin de pouvoir utiliser WebGL sur leur matériel ou de rester non sécurisé si une configuration vulnérable n'est pas correctement désactivée », affirme Microsoft en ajoutant que les utilisateurs ne sont pas habitués à mettre à jour leurs pilotes de carte graphique.

Finalement WebGL 1.0 ne s'avérerait pas compatible avec les critères de sécurité de la société. Malgré les efforts et les investissements de Microsoft autour des nouvelles spécifications du HTML5, la firme a cette fois choisi de privilégier la technologie propriétaire Direct3D pour la prise en charge de l'accélération matérielle.

Mise à jour (Article initialement publié à 11h50)
Sur son blog dédié à la sécurité, la fondation Mozilla explique avoir découvert une faille de sécurité due à l'implémentation de la technologie WebGL sur Firefox 4. Cette faille pourrait potentiellement permettre à une personne malveillante de récupérer les informations personnelles d'un utilisateur. Un correctif sera déployé au sein de la prochaine mouture du navigateur, laquelle est prévue pour le 21 juin prochain. Mozilla précise que cette vulnérabilité est propre à Firefox. En attendant il est conseillé de désactiver WebGL en tapant about:config dans la barre d'adresse du navigateur puis en choisissant la valeur true à la propriété webgl.disabled. L'internaute est également invité à télécharger la version bêta de Firefox 5.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Actualités récentes

Envie de frissons pour Halloween ? Notre sélection de jeux à ne pas manquer durant les soldes Steam
Sundar Pichai laisse entendre que Google va développer plus d'appareils sous sa marque
Bon plan Apple : l'iPhone 12 moins cher de presque 100€ chez Rakuten
Test Realme Buds Q : pour 30 euros, est-ce possible d'avoir des écouteurs de qualité ?
Forfait sans engagement : l'opérateur RED by SFR casse le prix de ses forfaits mobiles
Microsoft expérimente un « bracelet » de retour haptique destiné à la VR
Le smartphone Oppo Find X2 Neo 256Go passe à moins de 500€ (+ écouteurs sans fil offerts)
Resident Evil 3 Remake pourrait venir infecter la Nintendo Switch
Les écouteurs Apple AirPods Pro au même prix que durant le Prime Day !
-50% sur l'enceinte connectée Panasonic GA10 chez Cdiscount !
scroll top