-> ->

Ответные факты Mozilla: в Silverlight присутствует такая же уязвимость как и в WebGL

На прошлой неделе в своём блоге компания Microsoft опубликовала сообщение о том, что Internet Explorer не будет поддерживать технологию WebGL, так как WebGL обладает серьёзными ошибками в безопасности. Своё сообщение в Microsoft постарались подкрепить исследованиями организации Context Information Security, которые были направлены на анализ и выявление уязвимостей в WebGL, оказалось, что на основе WebGL возможны атаки различной степени тяжести, вплоть до выполнения вредоносного кода.

Один из разработчиков браузера Google Chrome, Gregg Tavares, отметил, что Silverlight имеет точно такую же уязвимость как и в WebGL (DoS, отказ от обслуживания). Microsoft утверждает, что устаренение уязвимости и исправления появятся в следующей beta-версии и финальном релизе.

Silverlight является конкурентом Flash и отчасти WebGL, присутствует аппаратное ускорение с использованием DirectX, WebGL же основан на кроссплатформенной технологии OperGL.

Разработчики браузера Google Chrome уже изучали возможность устранения уязвимостей, которые могут возникнуть из-за использования GPU и не было найдено способа ограничить функции доступа к видеокарте достаточным образом, чтобы предотвратить использование уязвимостей. Единственным простым решением на данный момент может служить отсчёт времени, которое было потрачено на выполнение поставленной задачи видеокартой, если выполнение задачи оказалось слишком долгим, то производить сброс GPU и завершение страницы, выдавшей данную задачу.

Именно платформа Microsoft Windows является одной из немногих операционных системах, в которой присутствует подобное решение, позволяющее сделать сброс драйвера видеокарты в состояние по умолчанию, тем самым именно платформа Windows может претендовать на лучшее место для запуска WebGL. Khronos Group (разработчик и главный куратор по спецификации WebGL) работает, чтобы принести аналогичную функциональность на другие системы как можно быстрее.

Также Gregg Tavares заметил, что Silverlight зависит абсолютно также от сторонних поставщиков (производителей аппаратного обеспечения, в частности - видеоускорителей) как и технология WebGL и именно Microsoft может стать той компанией, которая сможет оказать наибольшую помощь для обеспечения сотрудничества с поставщиками.

В тоже время уязвимость DoS (отказ от обслуживания) в Silverlight был замечена и представлена через сервис Microsoft Connect одним из разработчиков компании Mozilla - Benoit Jacob.

Часть переписки между сотрудником Microsoft и Benoit Jacob представлена ниже:

Microsoft: Благодарим Вас за сообщение, это поможет обеспечить качество релиза. Silverlight 5 в настоящее время находится в стадии Beta-версии. Улучшение безопасности и полная реализация плана обеспечения безопасности осуществляется за полный курс разработки продуктов. Вопрос DoS ошибки будет рассмотрен в предстоящем релизе.

Benoit Jacob: Я с нетерпением жду финальной версии Silverlight 5 с исправлением для этой ошибки DoS, но в то же время мне любопытно как будет исправлена проблема?

Если я правильно понимаю, любые исправления будут подразумевать работу с GPU поставщиками для использования 3D API, более устойчивого к DoS. Рабочая группа WebGL занимается именно этим (http://www.khronos.org/webgl/security/). Если Microsoft делает тоже самое, то было бы неплохо работать вместе на этом фронте.

Microsoft: Для уточнения более раннего заявления, смягчение ошибки DoS уже реализованы в текущей внутренней сборке и будет поставляться с Silverlight 5 RTM.

Похоже, что в Microsoft решили исправить проблему, но при этом никому не говорить как, либо решение так и не было ещё найдено.

Возможно в Microsoft просто не хотят реализовывать в IE технологию WebGL (может стать сильным конкурентом для продукта Microsoft Silverlight) и если популярность данной технологии всё больше и больше возрастает и с этим нельзя поспорить, то вопрос безопасности остаётся единственной возможностью возразить WebGL.

Поставить рейтинг:(Рейтинг: 2.92, оценок: 273)
 
Поделитесь новостью:

New! Полная статистика популярности браузеров по Рунету и миру. Системы сбора статистики LiveInternet, OpenStat, StatCounter в одном месте. Данные по всем популярным браузерам, таким как Google Chrome, Mozilla Firefox, Яндекс.Браузер, Opera, Microsoft Internet Explorer, а также альтернативным браузерам.

Возможно, Вам будут интересны новости:
События в тоже время:

Комментарии

Комментариев пока нет

Чтобы оставить комментарий - зарегистрируйтесь или авторизуйтесь через любимый сервис (ВКонтакте, Одноклассники, Twitter и др.) с помощью OpenID.