Dans une déclaration inhabituellement brutale, Microsoft a annoncé qu'il considérait la technologie graphique WebGL utilisée dans Google Chrome et Mozilla Firefox sont « nuisibles » et « ne constituent pas une technologie que Microsoft peut approuver en matière de sécurité » perspective."
Dans une déclaration inhabituellement brutale, Microsoft a annoncé qu'il considérait la technologie graphique WebGL du groupe Khronos trop dangereuse pour être prise en charge sous Windows.
Actuellement, Google Chrome et Mozilla Firefox prennent en charge WebGL. Google l'appelle "le moyen le plus puissant d'ajouter des graphiques 3D aux pages Web" et encourage les développeurs à "expérimenter la programmation graphique". Mozilla présentations WebGL comme étant idéal pour « des jeux 3D interactifs, des graphismes éclatants et de nouvelles expériences visuelles pour le Web sans utiliser de plug-ins tiers ».
L'annonce de Microsoft, « WebGL considéré comme nuisible » a été publié sur le blog officiel du Microsoft Security Response Center (MSRC) et signé par MSRC Engineering. Il a été posté par
swat, qui est l'abréviation de Secure Windows Initiative Attack Team, le groupe responsable de l'architecture de sécurité de Windows et d'autres produits Microsoft.Cette déclaration fait suite à deux rapports de Context Information Security qui décrivaient « de graves défauts de conception » et "les problèmes de sécurité" en WebGL. Le message le plus récent comprenait une démonstration de la façon de voler les données des utilisateurs via un navigateur Web.
Microsoft a déployé tous ses efforts en matière de sécurité derrière des conclusions très fermes:
L'une des fonctions de MSRC Engineering est d'analyser diverses technologies afin de comprendre comment elles peuvent potentiellement affecter les produits et les clients Microsoft. Dans le cadre de cette charte, nous nous sommes récemment penchés sur WebGL. Notre analyse nous amène à conclure que les produits Microsoft supportant WebGL auraient du mal à passer les tests de Microsoft. Cycle de vie du développement de la sécurité exigences.
[…]
Nous pensons que WebGL deviendra probablement une source permanente de vulnérabilités difficiles à corriger. Dans sa forme actuelle, WebGL n'est pas une technologie que Microsoft peut approuver du point de vue de la sécurité.
Le rapport affirme que la prise en charge de WebGL par les navigateurs « expose directement les fonctionnalités matérielles au Web d'une manière que nous considérons comme excessive ». permissif." On ne peut pas compter sur les pilotes graphiques pour respecter les garanties de sécurité, et il n'existe aucun modèle de service de sécurité viable pour la carte vidéo. Conducteurs. Compte tenu de la prévalence des attaques utilisant des vulnérabilités tierces (fichiers Adobe Flash et applications Java, par exemple), cela semble être une préoccupation légitime.
Microsoft affirme également que l'utilisation de WebGL permet des scénarios de déni de service qui permettraient « à n'importe quel site Web de geler ou de redémarrer les systèmes à volonté ».
Dans une déclaration par courrier électronique, Ari Bixhorn de l’équipe Internet Explorer de Microsoft s’en est directement pris à ses concurrents:
Les clients doivent comprendre que la sécurité de leurs ordinateurs est menacée lorsqu'ils naviguent sur le Web à l'aide de Google Chrome et Firefox. Étant donné que ces navigateurs prennent en charge WebGL, ils permettent aux sites Web malveillants d'accéder à l'une des parties les plus sécurisées de l'ordinateur d'une personne. Avec des failles de sécurité comme celle-ci, il est clair que WebGL n'est pas prêt pour les heures de grande écoute et que les gens ne devraient pas utiliser un navigateur qui le prend en charge. C'est pourquoi le Microsoft Security Response Center a récemment déconseillé l'utilisation de WebGL dans les produits Microsoft comme Internet Explorer.
En réponse à d'autres médias, Khronos Group minimise les problèmes de sécurité, suggérant que les fournisseurs de navigateurs travaillent toujours à l'adoption d'une suite de conformité WebGL et que le problème de sécurité démontré est « dû à un bug dans l’implémentation WebGL de Firefox ». Ce bug aurait été résolu dans Firefox 5, dont la sortie est prévue avant la fin de l'année. mois.
Un porte-parole du groupe Khronos a refusé de répondre directement au rapport de Microsoft, mais a noté que Mozilla, Firefox et Opera prennent tous fortement en charge WebGL, et Apple a annoncé une prise en charge limitée de WebGL dans iOS 5.
Un porte-parole de Google a déclaré que l'entreprise ne considérait pas WebGL comme une menace importante pour ses utilisateurs. De nombreuses parties de la pile WebGL, y compris le processus GPU, "s'exécutent dans des processus distincts et sont mises en sandbox dans Chrome pour aider à prévenir divers types d'attaques", a ajouté le porte-parole. Google affirme qu'il peut parer aux attaques de niveau inférieur en travaillant avec les fournisseurs de matériel, de systèmes d'exploitation et de pilotes pour désactiver WebGL sur les configurations système qui s'avèrent dangereuses.