現在、Google ChromeとMozilla Firefoxの両方にWebGLがサポートされています。 Google はこれを 「Webページに3Dグラフィックスを追加する最も強力な方法」と呼び、開発者に「グラフィック開発の分野での実験」を奨励しています。 Mozillaは、WebGLを「インタラクティブな3Dゲーム、リッチグラフィックアプリケーション、およびサードパーティのプラグインを使用しないビジュアルデザインへの新しいアプローチ」の理想的なテクノロジーと位置付けています。
マイクロソフトは、Microsoft Security Centerの公式ブログで「 WebGLが有害であると考えています 」という声明を発表しました。 Windowsおよびその他のマイクロソフト製品のセキュリティアーキテクチャを担当するチームによって公開されました。
この声明は、WebGLの「 重大な設計上の欠陥 」と「 セキュリティの問題 」を説明する2、3のレポートの後に来ました。 最後の投稿には、ブラウザーを介してユーザーデータを盗む方法のデモが含まれています。
マイクロソフトは、非常に厳しい声明で即座に対応しました。
マイクロソフトセキュリティセンターの機能の1つは、さまざまなテクノロジを分析することです。これにより、このテクノロジまたはそのテクノロジがマイクロソフトまたはその顧客に直接与える影響を理解できます。 この戦略の一環として、最近WebGLに注目しました。 この分析は、WebGLをサポートするマイクロソフト製品が安全なソフトウェア開発プロセスの要件を満たす可能性は低いと結論付けました。
[...]
WebGLは、修正が困難な脆弱性の原因になると考えています。 現在の状態では、WebGLはMicrosoftがセキュリティの面でサポートできるテクノロジーではありません。
このレポートは、ブラウザーでのWebGLサポートは「ハードウェア機能を過度に許容できるWebに公開する直接的な方法」であると主張しています。 グラフィックスドライバーはセキュリティルールの遵守に依存することはできず、ビデオカードドライバーの安全性を確保するための実用的なモデルはありません。 サードパーティ製品(Adobe FlashやJavaアプリケーションなど)の脆弱性を使用した攻撃がGiven延していることを考えると、これはマイクロソフト側の正当な懸念を引き起こします。
マイクロソフトはまた、WebGLを使用するとDoS攻撃シナリオを実装できると主張しています。これにより、「任意のWebサイトがシステムを一時停止したり、自由に再起動したりできます」。
投稿では、Internet ExplorerチームのAri Bixhornが競合他社に対して直接攻撃を行っています。
ユーザーは、Google ChromeとFirefoxを使用してオンラインに接続するとき、コンピューターのセキュリティが問題であることを理解する必要があります。 これらのブラウザーによるWebGLテクノロジーのサポートにより、悪意のあるプログラムを配布するサイトは、コンピューターの最も保護された部分にアクセスできます。 このようなセキュリティホールがあるため、WebGLが標準になる準備が整っていないことは明らかであるため、ユーザーはそのようなブラウザを使用しないでください。 したがって、Microsoft Security Centerは、Internet ExplorerなどのMicrosoft製品でWebGLを使用しないことを推奨しました。
このような攻撃に対応して、クロノスグループは、ブラウザ開発者がWebGLセキュリティ要件への準拠に取り組んでおり、「FirefoxでのWebGLの実装エラーの結果」であると主張することで、セキュリティ問題に関する状況を緩和しようとしています。 このバグはFirefox 5で修正されたと報告されており、その最終バージョンは月末までに発表されます。
Khronos Groupの代表者はMicrosoftのレポートへの回答を拒否しましたが、Mozilla、Firefox、OperaはWebGLを完全にサポートし、AppleはiOS 5でのWebGLの限定的なサポートを発表しました。
Googleの広報担当者は、同社はWebGLをユーザーに対する重大な脅威とは考えていないと述べた。 GPUプロセッサを含むWebGLスタックのほとんどは、「個別のプロセスで実行され、さまざまなタイプの攻撃を防ぐためにChromeで隔離されています」とスポークスマンは言いました。 Googleは、ハードウェア、OS、ドライバーのサプライヤーと協力して、安全でないと見なされる構成でWebGLを無効にすることで、低レベルの攻撃に耐えることができると主張しています。