Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Vulnérabilité critique dans le moteur d'accélération 3D WebGL
Utilisé par Chrome ou Firefox, Context recommande sa désactivation

Le , par Hinault Romaric

21PARTAGES

1  0 
Le cabinet de conseil en sécurité informatique Context Information Security Ltd affirme avoir trouvé une faille de sécurité dans la spécification WebGL, utilisée par les navigateurs Chrome ou Firefox. WebGL permet l'exécution d'applications 3D accélérées par la carte graphique.

Cette faille de sécurité est qualifiée de « critique » par Context. Elle exposerait le navigateur à des attaques graves par déni de service et permettrait l'exécution distante de code malveillant.

La faille pourrait être exploitée par un pirate pour prendre le contrôle de l'ordinateur infecté et voler des données. Cette vulnérabilité peut également être utilisée pour bloquer totalement l'ordinateur d'un utilisateur en lui faisant visiter une page Web infectée qui entraîne l'exécution de WebGL.

Pour Contexte, la découverte de cette vulnérabilité montre que la technologie n'est pas encore prête pour une utilisation de masse. Et par conséquent « recommande aux utilisateurs et aux responsables informatiques d'entreprises de désactiver WebGL dans leurs navigateurs » écrit James Forshaw chercheur en sécurité chez Contexte

Le Kronos Group, responsable du développement de la spécification WebGL, prend la situation très au sérieux. Il déclare par communiqué qu'il envisage d'adopter l'une des recommandations de Contexte, et que sa division en charge des technologies GPU (Graphics Processing Unit) travaille déjà sur l'ajout d'un mécanisme qui aiderait à régler le problème.

Le Kronos Group affirme par ailleurs que le moteur graphique WebGL est livré avec une extension GL_ARB_robutness spécialement conçue pour empêcher des attaques par déni de service, et des attaques visant à accéder à la mémoire du contenu WebGL.

L'extension a déjà été déployée par certains fournisseurs de GPU.

Les navigateurs peuvent vérifier sa présence avant d'activer WebGL qui l'est par défaut dans les dernières versions de Chrome et de Firefox.

Source : Context, Kronos Group

Une erreur dans cette actualité ? Signalez-le nous !