Vulnérabilité critique dans le moteur d'accélération 3D WebGL
Utilisé par Chrome ou Firefox, Context recommande sa désactivation

Le , par Hinault Romaric, Responsable .NET
Le cabinet de conseil en sécurité informatique Context Information Security Ltd affirme avoir trouvé une faille de sécurité dans la spécification WebGL, utilisée par les navigateurs Chrome ou Firefox. WebGL permet l'exécution d'applications 3D accélérées par la carte graphique.

Cette faille de sécurité est qualifiée de « critique » par Context. Elle exposerait le navigateur à des attaques graves par déni de service et permettrait l'exécution distante de code malveillant.

La faille pourrait être exploitée par un pirate pour prendre le contrôle de l'ordinateur infecté et voler des données. Cette vulnérabilité peut également être utilisée pour bloquer totalement l'ordinateur d'un utilisateur en lui faisant visiter une page Web infectée qui entraîne l'exécution de WebGL.

Pour Contexte, la découverte de cette vulnérabilité montre que la technologie n'est pas encore prête pour une utilisation de masse. Et par conséquent « recommande aux utilisateurs et aux responsables informatiques d'entreprises de désactiver WebGL dans leurs navigateurs » écrit James Forshaw chercheur en sécurité chez Contexte

Le Kronos Group, responsable du développement de la spécification WebGL, prend la situation très au sérieux. Il déclare par communiqué qu'il envisage d'adopter l'une des recommandations de Contexte, et que sa division en charge des technologies GPU (Graphics Processing Unit) travaille déjà sur l'ajout d'un mécanisme qui aiderait à régler le problème.

Le Kronos Group affirme par ailleurs que le moteur graphique WebGL est livré avec une extension GL_ARB_robutness spécialement conçue pour empêcher des attaques par déni de service, et des attaques visant à accéder à la mémoire du contenu WebGL.

L'extension a déjà été déployée par certains fournisseurs de GPU.

Les navigateurs peuvent vérifier sa présence avant d'activer WebGL qui l'est par défaut dans les dernières versions de Chrome et de Firefox.

Source : Context, Kronos Group


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Architecte électronique de puissance expérimenté H/F
Safran - Ile de France - Villaroche - Réau
Expert décisionnel business intelligence H/F
Safran - Ile de France - Évry (91090)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil