Les utilisateurs de Firefox et Chrome sont avertis de désactiver un outil de rendu 3D dans leurs navigateurs suite à des problèmes de sécurité « importants ».
Faisant partie de la fonctionnalité HTML5 Canvas, WebGL est un moteur de rendu qui permet des images et des animations 3D sans plugins. Il est utilisé dans les dernières versions de Chrome et Firefox, ainsi que dans les dernières versions de Safari.
La société de sécurité Context a averti que la spécification est « intrinsèquement non sécurisée ».
« Les risques découlent du fait que la plupart des cartes graphiques et des pilotes n'ont pas été écrits dans un souci de sécurité, de sorte que l'interface (API) qu'elles exposent suppose que les applications sont fiables », explique Michael Jordon, responsable de la recherche et du développement chez Context.
« Bien que cela puisse être vrai pour les applications locales, l'utilisation d'applications basées sur un navigateur WebGL avec certaines cartes graphiques constitue désormais de sérieuses menaces allant de la violation du principe de sécurité interdomaine aux attaques par déni de service, conduisant potentiellement à une exploitation complète de la machine d'un utilisateur.
Ces préoccupations concernant WebGL ont été soutenues par la US Computer Emergency Readiness Team (CERT), le conseiller en cybersécurité du gouvernement fédéral. Le CERT américain a averti que WebGL contenait « plusieurs problèmes de sécurité importants » et a conseillé aux utilisateurs de le désactiver.
"L'impact de ces problèmes comprend l'exécution de code arbitraire, le déni de service et les attaques entre domaines", a déclaré le CERT américain, avertissant les utilisateurs de "désactiver WebGL pour aider à atténuer les risques".
Comment désactiver WebGL
Voici comment désactiver WebGL (merci à TechDows pour les instructions).
Dans Chrome :
- clic droit sur le raccourci Chrome
- cliquez sur propriétés
- tapez -disable-webgl dans le champ cible après la ligne Chrome.exe (…chrome.exe -disable-webgl)
- cliquez sur appliquer
Comment désactiver WebGL dans Firefox 4 :
- tapez " about: config " dans la barre d'adresse
- acceptez le message d'avertissement « voici des dragons »
- tapez "webgl" dans le champ Filtre
- double-cliquez sur « webgl.disable » pour que la valeur passe à « true »
- redémarrer le navigateur
Nous attendons toujours la confirmation de Google et de Mozilla pour savoir si la désactivation de WebGL de cette manière constituera une protection suffisante.
