Ang PDF viewer ng Firefox ay maaaring mapalakas ang seguridad sa pamamagitan ng pagbubutas ng mga hacker

Ang isang built-in na PDF viewer component batay sa JavaScript at HTML5 Web teknolohiya ay idinagdag sa beta version ng Firefox 19, sinabi ng Mozilla Biyernes.

Ang tagagawa ng browser ay inilarawan ang built-in na PDF viewer bilang mas ligtas at mas ligtas kaysa sa pagmamay-ari ng mga pagtingin sa panonood ng PDF, tulad ng mga na-install ng Adobe Reader o Foxit Reader.

"Sa loob ng maraming taon nagkaroon ng maraming mga plugin para sa pagtingin ng mga PDF sa loob ng Firefox," sinabi ng Mozilla Engineering Manager na si Bill Walker at Mozilla Software Engineer na si Brendan Dahl Biyernes sa isang blog post. "Marami sa mga plugins na ito ay may proprietary closed source code na maaaring maglantad ng mga gumagamit sa mga kahinaan sa seguridad. Ang PDF viewing plugin ay may dagdag na code upang magawa ang maraming mga bagay na ang Firefox ay may mahusay na walang pagmamay-ari na code, tulad ng pagguhit ng mga imahe at teksto."

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang built-in na PDF viewer na kasalukuyang sinusuri ay nagmumula sa isang proyekto ng Mozilla Lab na tinatawag na PDF.js. "Ang proyekto ng PDF.js ay malinaw na nagpapakita na ang HTML5 at JavaScript ay sapat na ngayon upang makalikha ng mga application na maaaring dati nang nilikha bilang katutubong mga application," sabi ng mga inhinyero ng software ng Mozilla. "Hindi lamang ang karamihan sa pag-load ng PDF at mabilis na pag-render, tumatakbo sila nang ligtas at may interface na nararamdaman sa bahay sa browser."

Dahil ang gumagamit ay gumagamit ng standard HTML5 API (interface ng programming application) maaari rin itong tumakbo sa iba't ibang mga browser at sa iba't ibang mga platform, tulad ng mga tablet at mga mobile phone. Ang isang live na demo ng viewer na tumatakbo bilang isang Web application ay makukuha sa website ng PDF.js.

"Ang PDF.js powered viewer sa Firefox Beta ay ang unang hakbang upang maging isang ganap na integral na tampok sa loob ng release na bersyon ng Firefox kaya nasiyahan ang mga benepisyo nito sa pamamagitan ng lahat ng mga gumagamit ng Firefox, "sinabi ng mga inhinyero ng software ng Mozilla.

Hindi nililinaw ng Mozilla kung magagamit ang default na viewer na ito kahit na sa mga kaso kapag naka-install ang plug-in ng pagtingin sa third-party na PDF.

Hindi kaagad na nag-aanyaya sa mga hacker

Ang mga eksperto sa seguridad ay naniniwala na ang built-in na PDF viewer ay magbibigay ng higit pang seguridad para sa mga gumagamit, ngunit hindi kinakailangan dahil hindi ito madaling makita Ang mga kahinaan bilang third-party na mga viewer ng PDF viewer ay.

Ang ganitong pagpapatupad ay maaaring magbigay ng higit pang seguridad sa end user dahil ang user base nito ay magiging mas maliit kumpara sa na ng Adobe Reader at ang mga cybercriminal ay patuloy na mag-focus sa paggamit ng pinaka-popular na Ang mga piraso ng software, sinabi ni Stefan Tanase, isang senior security researcher sa antivirus vendor na Kaspersky Lab, sa pamamagitan ng email. "Habang nasasabik akong makita ang Firefox na nagbibigay ng karagdagang pag-iisip sa seguridad ng mga gumagamit nito, ang alalahanin sa akin ay kahit na ang mga teknolohiya kung saan ang PDF.js ay nakabatay ay maaaring masusugatan."

Tanase ay nagpapahiwatig na ang mga kahinaan sa JavaScript ng browser Ang pag-render ng engine ay hindi karaniwan. Bilang isang halimbawa, itinuturo niya ang CVE-2013-0750, isang kahinaan sa pagpapatupad ng remote code na naayos sa Firefox 18 ng ilang araw na nakalipas. Ang kahinaan ay nagmumula sa isang bug sa paraan na kinakalkula ng browser ang haba para sa isang koneksyong string ng JavaScript.

Ang kahinaan na ito ay hindi ang pagbubukod, kundi ang panuntunan, sinabi ni Tanase. "Ang mga katulad na mga tao ay natuklasan bawat taon, sa karamihan ng bawat bersyon ng produkto at lahat sila ay magagamit ng mga attackers upang magpatakbo ng code at mag-install ng software, na nangangailangan ng walang pakikipag-ugnayan ng gumagamit na lampas sa normal na pag-browse."

Ang PDF viewer component na ito ay mas ligtas kaysa sa ikatlo -party na mga plug-in kung ito ay ganap na nakasulat sa JavaScript / HTML5, sinabi ni Thomas Kristensen, ang punong opisyal ng seguridad sa vendor ng intelligence na kahinaan ng Secunia, sa pamamagitan ng email.

Ang mga isyu sa seguridad ay nananatiling

Gayunpaman, hindi ito nangangahulugan na ito ay hindi madaling kapitan sa mga kahinaan, sinabi niya. "Kung ang bagong pag-andar ay idinagdag sa browser o ang reader ng PDF ay maaaring maging pribilehiyo sa browser, maaaring ito ay maaaring maging mahina at maging isang bagong vector upang pagsamantalahan ang mga kahinaan sa browser."

"Mula sa isang teknikal na pananaw nakahanap ako ito ay kagiliw-giliw na sila ay ang paglikha ng isang PDF viewer na gumagamit ng mga umiiral na mga kakayahan ng browser, "Carsten Eiram, ang punong opisyal ng pananaliksik sa seguridad consultancy firm Risk Based Security, sinabi sa pamamagitan ng email. "Dahil ang mga browser ay napakasulong na ngayon sa suporta ng HTML5 at JavaScript na maaari nilang aktwal na mai-parse ang mga PDF file, maaari itong gumawa ng magkahiwalay na PDF viewer na walang kabuluhan para sa karamihan ng mga gumagamit, na nangangailangan lamang ng pangunahing mga kakayahan sa panonood ng PDF."

Sa pangkalahatan, mas mababa code na mayroong isang sistema, mas mababa ang nakalantad na ito ay sa mga potensyal na pag-atake, sinabi Eiram. Gamit ang built-in na PDF viewer component sa halip ng pag-install ng isang hiwalay na isang PDF reader na application na madalas ay nagsasama ng mga tampok ng maraming mga gumagamit ay hindi talagang kailangan at kung saan maaaring maging masusugatan, binabawasan ang pangkalahatang pag-atake ibabaw ng system, sinabi niya. sa teorya na ito. "May isang malinaw na benepisyo sa paggamit ng parehong rendering engine para sa parehong mga pahina ng Web at mga PDF na kailangang matukoy: ang code base ay mas maliit, kaya ang pag-atake sa ibabaw at potensyal na panganib ay binabaan," sinabi niya. ito ay bumaba sa kung paano solid ang JavaScript at HTML5 pagpapatupad ay nasa browser. "Inaasahan ko na ang anumang mga kahinaan sa mga pagpapatupad na ito ay makakaapekto rin sa PDF viewer," sabi niya.

Sa kabutihang palad, kung natagpuan ang mga kahinaan, ang trabaho ng pag-aayos ng mga ito ay bumaba sa vendor ng browser. Ang mga tagabigay ng browser, lalo na ng Mozilla at Google, ay may isang mahusay na track record ng pamamahala ng mga kahinaan at kasaysayan ay may mas mahusay na pag-update ng mga mekanismo kaysa sa mga third-party na vendor ng plug-in, sinabi ni Tanase.