A Firefox PDF-nézője növelheti a biztonságot a hackerek unalmasabbá tételével

A JavaScript és a HTML5 webes technológiákon alapuló beépített PDF nézőkomponens hozzá lett adva a bétaverzióhoz a Firefox 19-ben, a Mozilla pénteken elmondta.

A böngésző a beépített PDF-nézőt biztonságosabbá és biztonságosabbá tette, mint az Adobe Reader vagy a Foxit Reader által telepített PDF-megtekintő bővítmények. Azonban számos biztonsági szakértő megjegyezte, hogy valószínűleg nem lesz mentes a sérülékenységektől.

"Számos évig több plugin volt a PDF-ek megtekintéséhez a Firefoxon belül" - mondta a Mozilla Engineering Manager Bill Walker és a Mozilla Software Engineer Brendan Dahl Pénteken egy blogbejegyzésben. "A legtöbb ilyen beépülő modul saját zárt forráskóddal rendelkezik, amely potenciálisan kiaknázhatja a felhasználókat a biztonsági résekkel szemben.A PDF-nézegető pluginek további kóddal is rendelkeznek ahhoz, hogy sok dolgot megtehessenek, amiért a Firefox már jól működik, és nincsenek saját kódjaik, például képek és szövegek rajzolása."

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows számítógépről]

A jelenleg tesztelt beépített PDF-néző a PDF.js nevű Mozilla Labs projektből származik. "A PDF.js projekt egyértelműen azt mutatja, hogy a HTML5 és a JavaScript most már elég erősek ahhoz, hogy olyan alkalmazásokat hozzanak létre, amelyek korábban csak natív alkalmazásokként lettek létrehozva" - mondta a Mozilla szoftvermérnökei. "Nem csak a legtöbb PDF betöltése és gyors megjelenítése, biztonságosan futtatható, és van egy olyan felülete, amely otthonosan működik a böngészőben."

Mivel a néző szabványos HTML5 API-kat (alkalmazásprogramozási felületeket) használ, különböző böngészőkben és különböző platformokon, például tablettákon és mobiltelefonokon keresztül. A webes alkalmazásként futó néző élő bemutatója elérhető a PDF.js weboldalán.

"A PDF.js powered viewer a Firefox Béta-ban az első lépés ahhoz, hogy a Firefox kiadási verziójában teljesen integrált funkcióvá váljon így a Firefox minden felhasználó számára előnyös lehet "- mondta a Mozilla szoftver mérnökei.

A Mozilla nem tisztázta, hogy ez a néző alapértelmezés szerint is használatban lesz, még akkor is, ha harmadik féltől származó PDF-megtekintő bővítmény van telepítve. A vállalat nem válaszolt azonnal a megjegyzésre irányuló kérelemre

Kevesebb meghívás a hackerekre

A biztonsági szakértők úgy vélik, hogy a beépített PDF-néző nagyobb biztonságot nyújt a felhasználók számára, de nem feltétlenül, mert nem lesz hajlamos mint a harmadik féltől származó PDF-néző plug-inek.

Egy ilyen megvalósítás nagyobb biztonságot nyújt a végfelhasználó számára, mivel felhasználói bázisa kisebb lesz az Adobe Readerhez képest, és a számítógépes bűnözők továbbra is a legnépszerűbb szoftvert, Stefan Tanase, az antivírus-gyártó Kaspersky Lab vezető biztonsági kutatója. "Bár izgatottan látom, hogy a Firefox különös figyelmet fordít a felhasználók biztonságára, aggodalomra ad okot, hogy a PDF.js alapú technológiák is sebezhetők."

Tanase rámutatott arra, hogy a böngésző JavaScript renderelő motor nem ritka. Példaként rámutatott a CVE-2013-0750-re, egy távoli kódfuttatási sérülékenységre, amelyet néhány nappal ezelőtt a Firefox 18-ban rögzítettek. A biztonsági rés egy olyan hibáról származik, ahogyan a böngésző kiszámítja a JavaScript-karakterláncok összefűzésének hosszúságát.

Ez a biztonsági rés nem kivétel, hanem inkább a szabály, mondta Tanase. "Hasonlóak minden évben, leginkább minden termékverzióban, és mindegyiket a támadók használhatják kódfuttatáshoz és szoftverek telepítéséhez, és nem igényelnek felhasználói interakciót a normál böngészésen túl."

Ez a PDF-megtekintő összetevő biztonságosabb, mint a harmadik A partíciós plug-inek, ha teljes egészében JavaScript / HTML5-ben íródtak, Thomas Kristensen, a Secunia sebezhetőség-hírszerző cég vezető biztonsági tisztje elmondta e-mailben.

A biztonsági kérdések továbbra is

Mindazonáltal ez nem jelenti azt, hogy nem hajlamos a sebezhetőségre, mondta. "Ha a böngészőben vagy a PDF-olvasóban új funkciókat adtak hozzá, a böngészőben egyébként kiváltságos lesz, akkor sebezhető lesz, és új vektorgá válhat, amely kihasználja ezeket a biztonsági réseket a böngészőben."

"Technikai szempontból nagyon érdekes, hogy olyan PDF-nézőt hoznak létre, amely kihasználja a böngésző meglévő képességeit "- mondta e-mailben Carsten Eiram, a Security Based Security biztonsági tanácsadó cég vezető kutatója. "Mivel a böngészők annyira előrehaladottak a HTML5 és a JavaScript támogatással, hogy valóban képesek lesznek a PDF fájlok elemzésére, a legtöbb felhasználó számára olyan különálló PDF-nézőt érhetünk el, aki egyszerűen csak az alapvető PDF-megtekintési képességekkel rendelkezik."

Általában minél kevesebb kód van a rendszeren, annál kevésbé van kitéve a lehetséges támadásoknak, mondta Eiram. Ezt a beépített PDF-néző komponenst használva különálló PDF olvasóalkalmazás telepítése helyett, amely gyakran olyan funkciókat tartalmaz, amelyeket sok felhasználónak nem kell, és amely sebezhető lehet, csökkenti a rendszer általános támadási felületét. "

Tanase is egyetért ezzel az elmélettel. "Egyértelmű előnnyel jár ugyanaz a renderelő motor használata mind a weboldalakon, mind a PDF-ken, amelyekre rá kell mutatni: a kódbázis kisebb, ezért a támadási felület és a potenciális kockázat csökken."

Eiram úgy véli, hogy hogy a JavaScript és a HTML5 implementációk szilárdak a böngészőben. "Várnám, hogy ezeken a megvalósításokon belül minden biztonsági rés hatással van a PDF-nézőre is" - mondta.

Szerencsére, ha ilyen sérülékenységeket talál, akkor a javítás feladata a böngésző szállítójának tartozik. A böngészők, különösen a Mozilla és a Google nagyon jó eredményeket értek el a sebezhetőségek kezeléséről, és történelmileg jobb frissítési mechanizmusokkal rendelkeztek, mint a harmadik féltől származó plug-in gyártók. "