Firefoxov preglednik PDF-a može povećati sigurnost dosadnim hakerima

Beta verzija dodana je ugrađena komponenta PDF preglednika temeljena na JavaScript i HTML5 web tehnologijama Firefoxa 19, priopćio je Mozilla petak.

Proizvođač preglednika opisao je ugrađeni PDF preglednik kao sigurniji i sigurniji od vlasničkih dodataka za gledanje PDF-a, poput onih koje instaliraju Adobe Reader ili Foxit Reader. Međutim, nekoliko sigurnosnih stručnjaka primijetilo je da vjerojatno neće biti bez ranjivosti. "Nekoliko godina bilo je nekoliko dodataka za pregledavanje PDF-ova u Firefoxu", rekao je direktor tvrtke Mozilla Engineering Bill Walker i Mozilla Software Engineer Brendan Dahl. Petak u postu na blogu. "Mnogi od tih dodataka dolaze s vlasničkim zatvorenim izvornim kodom koji bi mogao potencijalno otkriti korisnike sigurnosnim ranjivostima. Dodatni kodovi za pregledavanje PDF-a također dolaze s dodatnim kodom za napraviti mnoge stvari koje Firefox već dobro funkcionira bez vlasničkih koda, poput crtanja slika i teksta".

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Ugrađeni PDF preglednik koji se trenutno provodi proizlazi iz Mozilla Labs projekta pod nazivom PDF.js. "Projekt PDF.js jasno pokazuje da su HTML5 i JavaScript sada dovoljno snažni za stvaranje aplikacija koje su prije bile stvorene samo kao izvorne aplikacije", rekli su softverski inženjeri Mozilla. "Ne samo da se većina PDF datoteka učitava i brzo prikazuje, oni se sigurno pokreću i imaju sučelje koje se osjećaju kod kuće u pregledniku."

Budući da gledatelj koristi standardne API-je HTML5 (sučelja za programiranje aplikacija), može se pokrenuti iu različitim preglednicima i na različitim platformama, poput tableta i mobilnih telefona. Live demo gledatelja koji se izvodi kao web aplikacija dostupan je na web stranici PDF.js.

"Preglednik powered PDF.js u Firefoxu Beta prvi je korak da postane potpuno integrirana značajka u verziji Firefoxa tako da njegove prednosti mogu uživati ​​svi korisnici Firefoxa ", rekao je Mozilla softverski inženjeri.

Mozilla nije pojasnila hoće li se ovaj preglednik koristiti prema zadanim postavkama čak iu slučajevima kada je ugrađen plug-in za gledanje PDF-a treće strane. Tvrtka nije odmah odgovorila na zahtjev za komentar.

Manje pozivanje hakera

Sigurnosni stručnjaci vjeruju da će ugrađeni PDF preglednik pružiti više sigurnosti korisnicima, ali ne nužno jer neće biti sklona ranjivosti kao dodatke za PDF preglednike treće strane.

Takva implementacija može pružiti veću sigurnost krajnjem korisniku jer će njegova korisnička baza biti manja u usporedbi s Adobe Readerom, a cyber-kriminalci će se nastaviti usredotočiti na iskorištavanje najpopularnijih komada softvera, Stefan Tanase, viši sigurnosni istraživač na antivirusnom dobavljaču Kaspersky Lab, rekao je putem e-pošte. "Iako sam uzbuđen kad vidim kako Firefox daje dodatnu pažnju na sigurnost svojih korisnika, ono što me brine jest da čak i tehnologije na kojima se temelji PDF.js mogu biti ranjive."

Tanase je istaknuo da ranjivosti JavaScript renderiranje motora nisu neuobičajeni. Kao primjer, ukazao je na CVE-2013-0750, ranjivost izvršavanja udaljenog koda fiksiranom u Firefoxu 18 prije nekoliko dana. Ranjivost proizlazi iz bugova u načinu na koji preglednik izračunava duljinu za povezivanje niza JavaScripta.

Ova ranjivost nije iznimka, već pravilo, kaže Tanase. "Slični se otkrivaju svake godine, uglavnom svaka inačica proizvoda, a napadači ih mogu koristiti za pokretanje koda i instalaciju softvera koji ne zahtijevaju korisničku interakciju izvan normalnog pregledavanja."

Ova komponenta PDF preglednika mogla bi biti sigurnija od treće -party plug-in ako je napisan u cijelosti u JavaScript / HTML5, Thomas Kristensen, glavni tajnik za sigurnost u prodavaču sigurnosnih podataka Secunia, rekao je putem e-pošte.

Sigurnosni problemi ostaju

Međutim, to ne znači da nije podložno ranjivostima, rekao je. "Ako se u pregledniku ili PDF čitaču dodaju nove funkcije, u pregledniku se inače povlači, možda je ranjiva i postaje novi vektor za iskorištavanje tih ranjivosti u pregledniku."

"Iz tehničkog stajališta nalazim vrlo je zanimljivo da stvaraju PDF preglednik koji koristi postojeće mogućnosti preglednika ", rekao je Carsten Eiram, glavni istraživač u tvrtki za sigurnosno savjetovanje Risk Based Security. "Budući da su preglednici sada tako napredni s HTML5 i JavaScript podrškom da mogu zapravo analizirati PDF datoteke, to bi moglo imati zaseban PDF preglednik besmislen za većinu korisnika koji samo trebaju osnovne mogućnosti pregledavanja PDF-a."

Općenito, kod postoji sustav, to je manje izloženo potencijalnim napadima, rekao je Eiram. Koristeći ovu ugrađenu komponentu PDF preglednika, umjesto da instalirate zasebnu aplikaciju za čitanje PDF čitača koja često uključuje značajke koje mnogi korisnici zapravo ne trebaju i koji mogu biti ranjivi, smanjuje ukupnu površinu napada, rekao je.

Tanase se također slaže s ovom teorijom. "Postoji jasna korist za korištenje istog renderera za obje web stranice i PDF datoteke koje treba istaknuti: baza kodova je manja, pa se površina napada i potencijalni rizik smanjuju", rekao je.

Eiram vjeruje da doći će do toga kako su JavaScript i HTML5 implementacije u pregledniku solidne. "Očekivala bih da će sve ranjivosti u tim implementacijama utjecati i na PDF preglednike", rekao je.

Srećom, ako se pronađu takve ranjivosti, posao prilikom njihova utvrđivanja pada na dobavljača preglednika. Proizvođači preglednika, pogotovo Mozilla i Google, imaju vrlo dobre rezultate u upravljanju ranjivostima i povijesno su imali bolje mehanizme ažuriranja od dobavljača dodataka treće strane, rekao je Tanase.