Microsoft noemt WebGL gevaarlijk
In een blogbericht legt het bedrijf uit Redmond uit dat het naar aanleiding van een rapport met kritiek op de beveiliging van WebGL, een eigen analyse van de standaard heeft uitgevoerd. "De analyse heeft ons doen concluderen dat Microsoft-producten die WebGL zouden ondersteunen moeilijk door de Security Development Lifecycle-keuring zouden komen", aldus het Microsoft Security Response Center.
Een groot probleem vindt Microsoft dat browserapplicaties toegang krijgen tot videokaarten en de bijbehorende drivers, terwijl deze tot op heden nauwelijks rekening moesten houden met mogelijke malwaredreigingen. Niet alleen zou de WebGL zelf te maken krijgen met kwetsbaarheden, maar ook de vele drivers, waaraan browserbouwers weinig kunnen doen. Bijkomend probleem zou zijn dat de gemiddelde gebruiker niet gewend is zijn videokaartdrivers te upgraden, als er al nieuwe versies komen die de lekken dichten. "We verwachten dat er bugs verschijnen op bepaalde platforms of bij specifieke videokaarten en daarmee mogelijk doelwitten voor aanvallen", verklaart Microsoft.
De fabrikant wijst ook op het gevaar van denial-of-service-problemen en de gebleken ontoereikendheid van de huidige beveiligingsmaatregelen. "We zien de noodzaak om met oplossingen op dit gebied te komen, maar ons doel is ervoor te zorgen dat die veilig zijn wat ontwerp en uitrol betreft en dat ze by default veilig zijn", zegt het beveiligingsteam van Microsoft. Het bedrijf draagt zijn eigen Direct3D als alternatief aan, omdat hierbij onder andere door de restrictieve api's minder beveiligingsproblemen zouden spelen.