Niente WebGL per Microsoft: è troppo pericolosa

La tecnologia WebGL viene utilizzata per eseguire applicazioni 3D all’interno dei moderni browser. Firefox e Chrome supportano WebGL e presto si aggiungeranno Safari e Opera. Internet Explorer probabilmente rimarrà l’unico non compatibile con questa tecnologia perché, secondo Microsoft, i suoi software avrebbero difficoltà a superare i requisiti del Security Development Lifecycle. Con un post pubblicato sul TechNet Blog, l’azienda di Redmond ha spiegato che WebGL è pericolosa per la sicurezza.

Microsoft specifica che il supporto di WebGL nei browser potrebbe mettere in serio pericolo il sistema operativo. La risoluzione di eventuali vulnerabilità dipenderebbe anche da aziende terze, per cui non sarebbe sufficiente installare una patch solo per Internet Explorer.

WebGL espone l’hardware direttamente sul web in un modo che Microsoft considera troppo permissivo. Dato che WebGL dipende anche dai driver video, attacchi che finora potevano essere realizzati solo elevando i privilegi locali, possono ora essere eseguiti da remoto, sfruttando i bug delle schede video.

La sicurezza dipende quindi anche dai produttori di GPU, dato che non sempre le vulnerabilità interessano le API WebGL. In alcuni PC viene bloccata la possibilità di aggiornare i driver grafici, per cui l’utente utilizza un sistema insicuro ed esposto ai malware che circolano in Rete. Per Microsoft, una soluzione potrebbe essere la distribuzione di driver aggiornati mediante Windows Update.

Infine, un terzo problema riguarda gli attacchi DoS (Denial of Service). I sistemi operativi moderni non sono stati progettati per difendersi dagli attacchi tramite gli shader e la geometria delle GPU. Sebbene un DoS lato client non sia molto pericoloso, si tratta di una questione che deve essere affrontata, dato che sarebbe possibile per un sito web bloccare o riavviare i sistemi.

“Nella sua forma attuale, WebGL non è una tecnologia che Microsoft può appoggiare dal punto di vista della sicurezza.”