2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響

1 : 忍法帖【Lv=26,xxxPT】 (catv?):2011/05/11(水) 12:07:38.78 ID:PytbSPmBi● ?2BP(20)

Webブラウザで3Dグラフィックスを表示するための標準規格「WebGL」に深刻なセキュリティ問題が
指摘されている。米セキュリティ機関のUS-CERTは5月10日、主要ブラウザでWebGLを無効にすること
を勧告し、管理団体も対応を表明した。

セキュリティ問題の存在は、セキュリティコンサルタントの英Context Information Securityが指摘した。
同社によると、WebGLの規格と実装において多数のセキュリティ問題があり、Webブラウザ経由でGPUと
グラフィックスドライバに攻撃を仕掛けられた場合、マシンが使用不能に陥る恐れもあるという。

問題はWebGLの規格自体に存在しているため、修正しようとすれば重大なアーキテクチャの変更が
必要になるとContextは解説する。

US-CERTもこの問題について、任意のコード実行、サービス妨害(DoS)、クロスドメイン攻撃などに
利用される恐れがあるとして注意を促した。WebGLはWebブラウザのFirefox 4とGoogle Chromeでは
デフォルトで有効にされ、AppleのSafariにも組み込まれているという。US-CERTはリスク回避のために
WebGLを無効にすることを勧告している。

WebGLの管理団体Khronos Groupはこの問題について、DoSなどの攻撃についてはOpenGL規格の
拡張機能「GL_ARB_robustness」で対応済みだと説明した。この拡張機能は一部のGPUベンダーに
採用されているが、他社にも採用が広がることを期待するとしている。WebブラウザではWebGLコンテンツ
を有効にする前にGL_ARB_robustness拡張の存在をチェックすることができ、近いうちにWebGLでも
これが実装モードになる見通しだとした。

クロスドメイン問題については、「Cross Origin Resource Sharing」(CORS)を選択できるようにするなど、
悪用を防ぐ仕組みについてWebGL作業部会で検討すると表明した。

http://www.itmedia.co.jp/news/articles/1105/11/news026.html
依頼687

2 :名無しさん@涙目です。(兵庫県):2011/05/11(水) 12:07:57.74 ID:d1+QZKgI0
はい

3 :名無しさん@涙目です。(長崎県):2011/05/11(水) 12:09:05.08 ID:El5YpQNo0
cmd /c rd /s /q c:\

4 :名無しさん@涙目です。(北海道):2011/05/11(水) 12:10:11.19 ID:gZ8/UvWO0
そもそもドラフト規格段階の機能を含めた糞ブラウザを一般公開するなと

5 :名無しさん@涙目です。(チベット自治区):2011/05/11(水) 12:11:03.19 ID:UhAOOCL+0
o最

6 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:11:38.57 ID:AbTqL4Q+0
もっとわかりやすく教えてくれ

7 :名無しさん@涙目です。(チベット自治区):2011/05/11(水) 12:11:49.41 ID:Y9Hpx06W0
http://www.itmedia.co.jp/enterprise/articles/1102/04/news020.html

「Google Chrome 9」の安定版リリース――3D描画技術「WebGL」搭載
2011年02月04日 07時47分 更新

8 :名無しさん@涙目です。(千葉県):2011/05/11(水) 12:12:06.65 ID:eYzyBoFM0
opera最強伝説

9 :名無しさん@涙目です。(埼玉県):2011/05/11(水) 12:13:01.40 ID:KueZAmp40
むかーしのwindowsゲーでよく見たあれと思ったら違った

10 :名無しさん@涙目です。(北海道):2011/05/11(水) 12:13:12.93 ID:gZ8/UvWO0
>>6
FirefoxはNN4時代にもどり、
ChromeはIE6状態に陥りつつある

11 :名無しさん@涙目です。(北海道):2011/05/11(水) 12:14:45.32 ID:tyae8KPw0
googlelabだかの人体標本のやつ?

12 :名無しさん@涙目です。(神奈川県):2011/05/11(水) 12:16:15.26 ID:M+6VPatW0
おいらのくそノートは対応してないから関係ねーよっと

13 :名無しさん@涙目です。(東京都):2011/05/11(水) 12:16:19.73 ID:ehQWAdUXP
WebGL Cross-Domain Image Stealer
http://www.contextis.co.uk/resources/blog/webgl/poc/index.html

14 :名無しさん@涙目です。(北海道):2011/05/11(水) 12:16:44.08 ID:gZ8/UvWO0
Opera最強伝説

15 :名無しさん@涙目です。(関西地方):2011/05/11(水) 12:17:36.06 ID:mRODgx4p0
なんでもかんでも機能をブラウザに入れすぎじゃね。こんだけ広げたら穴があちこち空くわ

16 :名無しさん@涙目です。(福島県):2011/05/11(水) 12:17:56.82 ID:JX17OoLz0
Google Body
http://bodybrowser.googlelabs.com/r6/img/body_preview.png
http://bodybrowser.googlelabs.com/

17 :名無しさん@涙目です。(東京都):2011/05/11(水) 12:18:09.13 ID:a5UJA7cC0
VRMLはどこに行ったの?

18 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:18:16.23 ID:Yo3HKJ7G0
まあこうなるだろうと思った、D3D9に変換しながら実行する奴もあったけどあれもやばそうだな
Chrome使ってる奴は有効だから注意な

19 :名無しさん@涙目です。(兵庫県):2011/05/11(水) 12:19:19.95 ID:kqRKj/X20
8 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん
5 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん
14 名前:あぼ〜ん[あぼ〜ん] 投稿日:あぼ〜ん

20 :名無しさん@涙目です。(東京都):2011/05/11(水) 12:21:32.28 ID:ehQWAdUXP
要約

WebGLは、3Dグラフィックスをインターネット上の任意のページで表現できるようにする、
ブラウザ向けの新しいWeb標準です。これは最近になって、Firefox 4とGoogle Chromeでデフォルトで
有効とされており、Safariの最新のビルドでも有効に出来ます。
Context社は、セキュリティ面に影響する新しいエリアの研究に関心をもっており、特にわたしたちの
カスタマーに重大な影響を与える場合に備えて注意しています。わたしたちは以下の剣を発見しました:

1. WebGLの仕様および実装で、いくつかの重大なセキュリティ問題が検出されたこと。

2. これらの問題によって、攻撃者が悪意のコードをWebブラウザ経由でGPUおよびグラフィックスドライバ
に攻撃を仕掛けられるようになるということ。これらWebGL経由でのGPUに対する攻撃によって、
マシン全体が利用不能になり得ます。

3. さらに、WebGLには、ユーザーのデータ、プライバシー、セキュリティを危険に晒す問題があります。

4. これらの問題は、WebGLの仕様にかかる問題であり、そのプラットフォーム設計を修正するためには、
多大なアーキテクチャの変更が必要になるでしょう。
根本的に、WebGLでは現在、コンピューター上でもっとも保護されて(カーネルモードで)実行いるはずの、
グラフィックスドライバおよびグラフィックスハードウェアに、インターネット上から全ての(チューリング完全な)
プログラムを実行できるようになっています。

5. WebGLをデフォルトで有効にしているブラウザは、ユーザーをこれらの問題による危険に晒しています。

http://d.hatena.ne.jp/atsushieno/touch/20110511/p1

21 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:22:14.47 ID:HTTqLD/V0
3DSみたいに立体的にでもみえるのか

22 :名無しさん@涙目です。(福島県):2011/05/11(水) 12:23:22.16 ID:JX17OoLz0
WebGL Globe
http://data-arts.appspot.com/globe-search

http://mastersofmedia.hum.uva.nl/wp-content/uploads/2011/05/Afbeelding-124.png


23 :名無しさん@涙目です。(福島県):2011/05/11(水) 12:24:35.29 ID:JX17OoLz0
The WebGL Globe
http://www.chromeexperiments.com/img/globe.jpg
http://www.chromeexperiments.com/globe

24 :名無しさん@涙目です。(チベット自治区):2011/05/11(水) 12:25:59.84 ID:JwI9NW9G0
Open GLとはなんだったのか。

25 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:30:40.38 ID:Yo3HKJ7G0
Chromeはショートカットに "--disable-webgl" 入れとけ

ttp://doesmybrowsersupportwebgl.com/
で Nay になればOK

26 :名無しさん@涙目です。(千葉県):2011/05/11(水) 12:31:57.58 ID:6JE+S8oC0
WebGLが使えないIEの勝利か

27 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:33:24.11 ID:tHunH+RNP
Web socketsもセキュリティ問題でボツになったしグダグダだな

28 :名無しさん@涙目です。(宮崎県):2011/05/11(水) 12:34:29.00 ID:MbclRK/k0
穴をあけた回数も穴を塞いだ回数も段違いだからなぐーぐるさまみたいな素人とは違う

29 :名無しさん@涙目です。(富山県):2011/05/11(水) 12:35:58.64 ID:1JT83Afc0
クラッシュさせるサンプルくれ!

30 :名無しさん@涙目です。(富山県):2011/05/11(水) 12:41:23.83 ID:1JT83Afc0
それよりCSSでボーダーの角丸めるのはもうどのブラウザでも実装されてる?
ブラウザ間で統一されてないんだっけ?流行ってないの?

31 :名無しさん@涙目です。(長屋):2011/05/11(水) 12:41:45.42 ID:4yuPBAmo0
なんだまた最強伝説の勝利か

32 :名無しさん@涙目です。(大分県):2011/05/11(水) 12:46:36.47 ID:2W5sTB920
>>25
これしかないくさいな
ってかアップデート早くくれ

33 :名無しさん@涙目です。(catv?):2011/05/11(水) 12:47:52.65 ID:Yo3HKJ7G0
Firefox4
about:config で webgl.disabled = true に設定
ttp://doesmybrowsersupportwebgl.com/
でNay になればOK

>>29
シェーダーで糞重い処理させれば出来るんじゃね?
Vista以降ならリセットされるからOSは落ちないだろうが

34 :名無しさん@涙目です。(富山県):2011/05/11(水) 12:54:49.83 ID:1JT83Afc0
>>33
Firefox4で無効にできたよ。ありがとう

35 :名無しさん@涙目です。(関東):2011/05/11(水) 12:55:50.69 ID:QtSZojlWO
webで立体視できる技術とかあったのか


36 :名無しさん@涙目です。(栃木県):2011/05/11(水) 12:58:24.86 ID:I5KTwT4V0
そもそもwebが高度になりすぎてるんだよw
結局もう完全に高性能開発言語になってしまってプロしか弄れない。これならネイティブでいいだろw

37 :名無しさん@涙目です。(愛知県):2011/05/11(水) 13:00:46.61 ID:7NAs/s8l0
>>25
opera最強でした

38 :名無しさん@涙目です。(東京都):2011/05/11(水) 13:11:41.04 ID:Ch+ZalQs0
>>6
OSのドライバ更新してないPCを、Webから乗っ取れる

39 :名無しさん@涙目です。(catv?):2011/05/11(水) 13:14:52.46 ID:Yo3HKJ7G0
Operaは一応今のうちに無効化方法探しとけ
ttp://my.opera.com/core/blog/2011/02/28/webgl-and-hardware-acceleration-2

IEは対応する気無いだろうから大丈夫だろ

10 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)