ニュース
» 2011年05月11日 07時45分 UPDATE

3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響

WebGLはFirefox 4とGoogle Chromeではデフォルトで有効にされ、AppleのSafariにも組み込まれている。US-CERTはWebGLを無効にすることを勧告している。

[鈴木聖子,ITmedia]

 Webブラウザで3Dグラフィックスを表示するための標準規格「WebGL」に深刻なセキュリティ問題が指摘されている。米セキュリティ機関のUS-CERTは5月10日、主要ブラウザでWebGLを無効にすることを勧告し、管理団体も対応を表明した。

 セキュリティ問題の存在は、セキュリティコンサルタントの英Context Information Securityが指摘した。同社によると、WebGLの規格と実装において多数のセキュリティ問題があり、Webブラウザ経由でGPUとグラフィックスドライバに攻撃を仕掛けられた場合、マシンが使用不能に陥る恐れもあるという。

 問題はWebGLの規格自体に存在しているため、修正しようとすれば重大なアーキテクチャの変更が必要になるとContextは解説する。

 US-CERTもこの問題について、任意のコード実行、サービス妨害(DoS)、クロスドメイン攻撃などに利用される恐れがあるとして注意を促した。WebGLはWebブラウザのFirefox 4とGoogle Chromeではデフォルトで有効にされ、AppleのSafariにも組み込まれているという。US-CERTはリスク回避のためにWebGLを無効にすることを勧告している。

 WebGLの管理団体Khronos Groupはこの問題について、DoSなどの攻撃についてはOpenGL規格の拡張機能「GL_ARB_robustness」で対応済みだと説明した。この拡張機能は一部のGPUベンダーに採用されているが、他社にも採用が広がることを期待するとしている。WebブラウザではWebGLコンテンツを有効にする前にGL_ARB_robustness拡張の存在をチェックすることができ、近いうちにWebGLでもこれが実装モードになる見通しだとした。

 クロスドメイン問題については、「Cross Origin Resource Sharing」(CORS)を選択できるようにするなど、悪用を防ぐ仕組みについてWebGL作業部会で検討すると表明した。

関連キーワード

WebGL | US-CERT | 3D | セキュリティ問題 | Firefox | Google Chrome


Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -