Firefoxin PDF-katseluohjelma voi lisätä tietoturvaa tyrmäämällä hakkereita

Beetasovellukseen on lisätty sisäänrakennettu PDF-katseluohjelma, joka perustuu JavaScript- ja HTML5-Web-tekniikoihin.

Selaimen luoja kuvasi sisäänrakennettua PDF-katseluohjelmaa turvallisemmaksi ja turvallisemmaksi kuin omat PDF-katseluohjelmapaketit, kuten Adobe Readerin tai Foxit Readerin asennetut. Monet tietoturva-asiantuntijat ovat kuitenkin huomanneet, että heillä ei todennäköisesti ole haavoittuvuuksia.

"Useiden vuosien ajan Firefoxin PDF-tiedostojen katseluun on ollut useita lisäosia", Mozilla Engineering Manager Bill Walker ja Mozilla Software Engineer Brendan Dahl sanoivat Perjantai blogikirjoituksessa. "Monissa näistä laajennuksista on suljettu suljettu lähdekoodi, joka saattaa altistaa käyttäjille tietoturvahaavoille. PDF-katseluohjelmilla on myös ylimääräinen koodi, jolla voi tehdä monia asioita, jotka Firefox on jo tehnyt ilman erillistä koodia, kuten kuvien ja tekstin piirtämistä."

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Parhaillaan testattava sisäänrakennettu PDF-katselu perustuu Mozilla Labs -hankkeeseen nimeltä PDF.js. "PDF.js-projekti osoittaa selvästi, että HTML5 ja JavaScript ovat nyt riittävän tehokkaita luomaan sovelluksia, jotka olisivat aiemmin luoneet vain alkuperäisiksi sovelluksiksi", Mozilla-ohjelmistosuunnittelijat sanoivat. "Useimmat PDF-tiedostot latautuvat ja näkyvät nopeasti, ne toimivat turvallisesti ja niillä on käyttöliittymä, joka tuntuu kotona selaimessa."

Koska katselija käyttää tavallisia HTML5-sovellusliittymiä (application programming interface), se voi myös käyttää eri selaimissa ja eri alustoille, kuten tabletteihin ja matkapuhelimiin. Web-sovelluksen suorana toimivan katsojan live-esitys on saatavilla PDF.js-sivustolla.

"PDF.js-powered Viewer Firefox Beta -ohjelmistossa on ensimmäinen askel siitä, että Firefoxista tulee täysin integroitu ominaisuus joten sen hyödyt voivat olla kaikkien Firefox-käyttäjien käytössä ", Mozilla-ohjelmistosuunnittelija sanoi.

Mozilla ei selvittänyt, käytetäänkö tätä katselijan oletusarvoisesti myös silloin, kun kolmannen osapuolen PDF-katseluohjelma on asennettu. Yhtiö ei vastannut välittömästi kommentointipyyntöön.

Kutsu vähemmän hakkereita

Tietoturva-asiantuntijat uskovat, että sisäänrakennettu PDF-katseluohjelma tarjoaa käyttäjille enemmän turvallisuutta, mutta ei välttämättä siksi, että se ei ole altis haavoittuvuudet ovat kolmannen osapuolen PDF-katseluohjelmaprofiileja.

Tällainen toteutus voi tarjota enemmän turvallisuutta loppukäyttäjälle, koska sen käyttäjäkunta on pienempi kuin Adobe Reader ja tietokonerikolliset jatkavat keskittymään suosituimpien ohjelmistoja, Stefan Tanase, virustentorjunnan toimittajan Kaspersky Labin vanhempi tietoturva-tutkija. "Vaikka olen innoissani siitä, että Firefox on lisännyt käyttäjien tietoturvaa, minua huolestuttaa se, että jopa sellaiset teknologiat, joihin PDF.js perustuu, voivat olla haavoittuvia."

Tanase huomautti, että selaimen JavaScript- renderointi moottori ei ole harvinaista. Esimerkkinä hän viittasi CVE-2013-0750: een, joka estää koodin suorittamisen haavoittuvuuden Firefoxissa 18 muutama päivä sitten. Haavoittuvuus johtuu virheestä, jolla selain laskee pituuden JavaScript-merkkijonoketjuun.

Tämä haavoittuvuus ei ole poikkeus vaan pikemminkin sääntö, Tanase sanoi. "Samankaltaisia ​​löytyy joka vuosi, useimmiten jokaisessa tuoteversiossa, ja hyökkääjät voivat käyttää kaikkia koodia ja asentaa ohjelmia, jotka eivät vaadi käyttäjän vuorovaikutusta normaalin selaamisen lisäksi."

Tämä PDF-katseluohjelma voi olla turvallisempi kuin kolmas -party-laajennukset, jos se on kirjoitettu kokonaan JavaScript / HTML5: ssa, Secunian päällikön tietoturvapäällikkö Thomas Kristensen sanoi sähköpostitse.

Turvallisuuskysymykset ovat edelleen

Tämä ei kuitenkaan tarkoita sitä, että se ei ole altis haavoittuvuuksille, hän sanoi. "Jos selaimeen tai PDF-lukulaitteeseen on lisätty uusia toimintoja, muutoin etuoikeutettu selaimessa, se voi olla haavoittuva ja tullut uusi vektori näiden selaimen haavoittuvuuksien hyödyntämiseksi."

"Teknisestä näkökulmasta löydän on erittäin mielenkiintoista, että he luovat PDF-katseluohjelmaa, joka hyödyntää selaimen nykyisiä ominaisuuksia ", sanoo sähköpostitse sähköpostiviestinnän turvallisuusriskialan konsulttiyrityksen pääekologi Carsten Eiram. "Koska selaimet ovat nyt niin kehittyneitä HTML5- ja JavaScript-tuen kanssa, että he voivat itse jäsentää PDF-tiedostoja, se saattaa aiheuttaa erillisen PDF-katselijan turhaksi useimmille käyttäjille, jotka tarvitsevat vain perus-PDF-katseluominaisuuksia."

koodi on järjestelmässä, sitä vähemmän altistuu potentiaalisille hyökkäyksille, Eiram sanoi. Hänen mukaansa tämän sisäänrakennetun PDF-katseluohjelman komponentti sen sijaan, että asennettaisiin erillinen PDF-lukijaohjelma, joka usein sisältää ominaisuuksia, joita monet käyttäjät eivät todellakaan tarvitse ja jotka voivat olla haavoittuvia, vähentää järjestelmän yleistä hyökkäyspintaa. tämän teorian kanssa. "On olemassa selkeä etu käyttää samaa renderointimoottoria molemmille verkkosivuille ja PDF-tiedostoille, joita on syytä huomauttaa: koodipohja on pienempi, joten hyökkäyspinta ja potentiaalinen riski pienenevät."

Eiram uskoo, että se tulee alas, kuinka vakaa JavaScript ja HTML5 toteutukset ovat selaimessa. "Odotan, että näiden toteutusten haavoittuvuudet vaikuttavat myös PDF-katseluun", hän sanoi.

Onneksi jos tällaisia ​​haavoittuvuuksia havaitaan, niiden korjaaminen on selaimen myyjälle. Selaimen päättäjät, erityisesti Mozilla ja Google, ovat erittäin hyviä kokemuksia haavoittuvuuksien hallinnasta, ja heillä on historiallisesti ollut parempia päivitysmekanismeja kuin kolmannen osapuolen plug-in-toimittajia, Tanase sanoi.