Firefox- och Chrome-användare varnas för att stänga av ett 3D-renderingsverktyg i sina webbläsare efter "betydande" säkerhetsproblem.
En del av HTML5 Canvas-funktionaliteten är WebGL en renderingsmotor som tillåter 3D-bilder och animationer utan plugins. Den används i de senaste versionerna av Chrome och Firefox, såväl som de senaste versionerna av Safari.
Säkerhetsföretaget Context varnade för att specifikationen är "inneboende osäker".
"Riskerna härrör från det faktum att de flesta grafikkort och drivrutiner inte har skrivits med säkerhet i åtanke så att gränssnittet (API) de exponerar förutsätter att applikationerna är pålitliga", säger Michael Jordon, forsknings- och utvecklingschef på Context.
"Även om detta kan vara sant för lokala applikationer, utgör användningen av WebGL-aktiverade webbläsarbaserade applikationer med vissa grafikkort nu allvarliga hot från att bryta säkerhetsprincipen över flera domäner till överbelastningsattacker, vilket potentiellt leder till fullständigt utnyttjande av en användares maskin.”
Dessa farhågor med WebGL har backats av US Computer Emergency Readiness Team (CERT), den federala regeringens cybersäkerhetsrådgivare. US CERT varnade för att WebGL innehåller "flera betydande säkerhetsproblem", och rådde användare att stänga av den.
"Konsekvenserna av dessa problem inkluderar exekvering av godtycklig kod, denial-of-service och attacker över flera domäner", sa US CERT och varnade användare att "inaktivera WebGL för att minska riskerna".
Hur man stänger av WebGL
Så här stänger du av WebGL (tack vare TechDows för instruktionerna).
I Chrome:
- högerklicka på Chrome-genvägen
- klicka på egenskaper
- skriv -disable-webgl i målfältet efter Chrome.exe-raden (...chrome.exe -disable-webgl)
- klicka på tillämpa
Så här stänger du av WebGL i Firefox 4:
- skriv "about:config" i adressfältet
- godkänn varningsmeddelandet "här är drakar".
- skriv "webgl" i filterfältet
- dubbelklicka på "webgl.disable" så att värdet ändras till "true"
- starta om webbläsaren
Vi väntar fortfarande på bekräftelse från Google och Mozilla om huruvida inaktivering av WebGL på dessa sätt kommer att vara tillräckligt skydd.