adams
06-19-2011, 03:41
Microsoft tuyên bố Internet Explorer sẽ không hỗ trợ tiêu chuẩn WebGL vì vấn đề bảo mật.
WebGL là tính năng tăng tốc phần cứng đồ hoạ 3D cho các trình duyệt hỗ trợ hiển thị các đối tượng đồ hoạ trong trang web trở nên đẹp và rõ nét hơn. WebGL được bật sẵn mặc định trong trình duyệt FireFox 4 và Google Chrome, và có thể trong phiên bản Safari mới nhất.
Tuy nhiên, theo các kỹ sư tại trung tâm giải đáp an ninh bảo mật Microsoft Security Response Center (MSRC), giao diện lập trình ứng dụng (application programming interface - API) của Khronos Group có thể gây ra những lỗ hổng khó khắc phục. Họ cũng cho biết API này không tương thích với các tiêu chuẩn SDL (Security Development Lifecycle – Chu kỳ phát triển bảo mật) của Microsoft, đồng thời đưa ra những báo cáo mới đây về các lỗ hổng WebGl do ContextIS công bố.
WebGL có thể bị mã độc hại tấn công
Theo ContextIS, đã xác định được một số vấn đề bảo mật nghiêm trọng về WebGL. Lỗ hổng WebGL cho phép kẻ tấn công phát đi mã độc hại thông qua trình duyệt web, cho phép tấn công vào các GPU và trình điều khiển đồ họa. Những cuộc tấn công trên GPU thông qua WebGL có thể khiến toàn bộ các máy không sử dụng được.
Hãng bảo mật cảnh báo các mối nguy hiểm khác về WebGL sẽ đe dọa dữ liệu, quyền riêng tư và bảo mật của người dùng. Đây vốn là những vấn đề cố hữu của WebGL, để khắc phục trong thiết kế nền tảng cần thực hiện những thay đổi kiến trúc đáng kể.
Giải pháp phải an toàn
Mối lo ngại hàng đầu của các kỹ sư Microsoft là việc hỗ trợ WebGL cho trình duyệt có thể tiết lộ chức năng phần cứng (hardware functionality) theo cách mà Microsoft coi là "quá dễ dãi".
Mức độ bảo mật của WebGL phụ thuộc vào các cấp độ thấp hơn của hệ thống, điều này có nghĩa là trình điều khiển OEM sẽ cần phải tăng cường các đảm bảo bảo mật mà trước đây không phải lo nghĩ đến.
Theo một bài viết trên blog của MSRC, "thiếu mô hình bảo mật hiệu quả cho các trình điều khiển video card (như Windows Update), người dùng có thể hoặc chọn tắt chế độ bảo vệ để sử dụng WebGL trên phần cứng, hoặc tiếp tục rơi vào trạng thái không an toàn nếu cấu hình dễ bị tấn công không được tắt đúng cách".
Đội nghiên cứu của MSRC cũng chú ý rằng các website sẽ không thể tùy ý đóng băng hay khởi động lại hệ thống.
"Hiện tại, WebGL không phải công nghệ mà Microsoft có thể chấp nhận từ góc độ an ninh. Chúng tôi nhận thấy cần phải đưa ra giải pháp về lĩnh vực này, tuy nhiên chúng tôi đề ra mục tiêu tất cả các giải pháp phải an toàn về thiết kế, an toàn mặc định, và an toàn trong triển khai".
Phạm Duyên
Theo ComputerWeekly
WebGL là tính năng tăng tốc phần cứng đồ hoạ 3D cho các trình duyệt hỗ trợ hiển thị các đối tượng đồ hoạ trong trang web trở nên đẹp và rõ nét hơn. WebGL được bật sẵn mặc định trong trình duyệt FireFox 4 và Google Chrome, và có thể trong phiên bản Safari mới nhất.
Tuy nhiên, theo các kỹ sư tại trung tâm giải đáp an ninh bảo mật Microsoft Security Response Center (MSRC), giao diện lập trình ứng dụng (application programming interface - API) của Khronos Group có thể gây ra những lỗ hổng khó khắc phục. Họ cũng cho biết API này không tương thích với các tiêu chuẩn SDL (Security Development Lifecycle – Chu kỳ phát triển bảo mật) của Microsoft, đồng thời đưa ra những báo cáo mới đây về các lỗ hổng WebGl do ContextIS công bố.
WebGL có thể bị mã độc hại tấn công
Theo ContextIS, đã xác định được một số vấn đề bảo mật nghiêm trọng về WebGL. Lỗ hổng WebGL cho phép kẻ tấn công phát đi mã độc hại thông qua trình duyệt web, cho phép tấn công vào các GPU và trình điều khiển đồ họa. Những cuộc tấn công trên GPU thông qua WebGL có thể khiến toàn bộ các máy không sử dụng được.
Hãng bảo mật cảnh báo các mối nguy hiểm khác về WebGL sẽ đe dọa dữ liệu, quyền riêng tư và bảo mật của người dùng. Đây vốn là những vấn đề cố hữu của WebGL, để khắc phục trong thiết kế nền tảng cần thực hiện những thay đổi kiến trúc đáng kể.
Giải pháp phải an toàn
Mối lo ngại hàng đầu của các kỹ sư Microsoft là việc hỗ trợ WebGL cho trình duyệt có thể tiết lộ chức năng phần cứng (hardware functionality) theo cách mà Microsoft coi là "quá dễ dãi".
Mức độ bảo mật của WebGL phụ thuộc vào các cấp độ thấp hơn của hệ thống, điều này có nghĩa là trình điều khiển OEM sẽ cần phải tăng cường các đảm bảo bảo mật mà trước đây không phải lo nghĩ đến.
Theo một bài viết trên blog của MSRC, "thiếu mô hình bảo mật hiệu quả cho các trình điều khiển video card (như Windows Update), người dùng có thể hoặc chọn tắt chế độ bảo vệ để sử dụng WebGL trên phần cứng, hoặc tiếp tục rơi vào trạng thái không an toàn nếu cấu hình dễ bị tấn công không được tắt đúng cách".
Đội nghiên cứu của MSRC cũng chú ý rằng các website sẽ không thể tùy ý đóng băng hay khởi động lại hệ thống.
"Hiện tại, WebGL không phải công nghệ mà Microsoft có thể chấp nhận từ góc độ an ninh. Chúng tôi nhận thấy cần phải đưa ra giải pháp về lĩnh vực này, tuy nhiên chúng tôi đề ra mục tiêu tất cả các giải pháp phải an toàn về thiết kế, an toàn mặc định, và an toàn trong triển khai".
Phạm Duyên
Theo ComputerWeekly