C'est le buzz du moment sur Internet, buzz lancé par un billet de blog de James Forshaw de Context Information Security. D'après ce billet, les spécifications de WebGL établies par le Khronos Group pour amener une meilleure 3D dans les navigateurs et pour booster les performances constituent une vraie faille de sécurité, qui peuvent donner lieu à des attaques par déni de services et même à des prises de contrôles à distances des machines attaquées, à partir de code Javascript chargé depuis des sites malveillants. Pour James

Le problème est inhérent à ce qu'est WebGL: l'accélération graphique matérielle. En résumé un programme OpenGL finit par s'exécuter dans un pilote éventuellement peu sûr, et dans le pire des contextes: une exécution en mode noyau. Pour James, il faudrait procéder à des changements majeurs dans la conception de cette plate-forme. La recommandation de Context est pour l'instant de désactiver purement et simplement WebGL des navigateurs qui le supportent, à savoir Chrome et Firefox.

Khronos prend l'affaire très au sérieux. Et si le groupe rappelle qu'il existe déjà l'extention  GL_ARB_robutness  pour empêcher des attaques par déni de service, et les accès illégaux ) des zones mémoires,   et des attaques visant à accéder à la mémoire du contenu WebGL, il travaille déjà à des solutions pour régler ce problème.