Prohlížeč PDF aplikace Firefox může zvýšit zabezpečení vyvrchnutím hackerů

Vestavěná komponenta prohlížečů PDF založená na webových technologiích JavaScript a HTML5 byla přidána do beta verze

Výrobce prohlížeče popsal zabudovaný prohlížeč PDF jako bezpečnější a bezpečnější než vlastní prohlížeč plug-inů pro prohlížení souborů PDF, jako jsou instalované aplikacemi Adobe Reader nebo Foxit Reader. Nicméně několik bezpečnostních expertů uvedlo, že pravděpodobně nebude bez zranitelných míst.

"Již řadu let existuje několik pluginů pro prohlížení souborů PDF v rámci Firefoxu," říká ředitel Mozilla Engineering Bill Walker a Mozilla Software Engineer Brendan Dahl Pátek v blogu. "Mnoho z těchto pluginů je opatřeno vlastním uzavřeným zdrojovým kódem, který by mohl potenciálně vystavit uživatele bezpečnostním chybám." Pluginy pro prohlížení souborů PDF obsahují také další kód, který dělá mnoho věcí, které Firefox již dobře funguje bez vlastního kódu, například kreslení obrázků a textu.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Zabudovaný prohlížeč PDF, který je právě testován, pochází z projektu Mozilla Labs s názvem PDF.js. "Projekt PDF.js jasně ukazuje, že HTML5 a JavaScript jsou nyní dostatečně výkonné, aby vytvořily aplikace, které byly dříve vytvořeny pouze jako nativní aplikace," uvedli inženýři softwaru Mozilla. "Nejen, že většina PDF souborů se načte a vykreslí rychle, běží bezpečně a mají rozhraní, které se v prohlížečích cítí jako doma."

Jelikož prohlížeč používá standardní API rozhraní HTML5 (aplikační programovací rozhraní), může také pracovat v různých prohlížečích a na různých platformách, jako jsou tablety a mobilní telefony. Živá ukázka prohlížeče, která běží jako webová aplikace, je k dispozici na webových stránkách PDF.js.

"Prohlížeč poháněný PDF.js v prohlížeči Firefox Beta je prvním krokem k tomu, aby se stal plně integrovanou funkcí v rámci verze Firefoxu takže jeho výhody mohou mít všichni uživatelé Firefoxu, "uvedli inženýři softwaru Mozilla.

Mozilla nezjistila, zda bude tento prohlížeč používán ve výchozím nastavení i v případech, kdy je nainstalován plug-in pro prohlížení souborů třetích stran. Společnost nereagovala okamžitě na žádost o připomínky

Méně pozvaní hackerům

Bezpečnostní experti se domnívají, že vestavěný prohlížeč PDF poskytne uživatelům větší bezpečnost, ale ne nutně proto, že nebude náchylný chyby zabezpečení jako zásuvných modulů pro prohlížení souborů třetích stran jsou.

Taková implementace by mohla poskytnout větší bezpečnost konečnému uživateli, protože jeho uživatelská základna bude menší než uživatelská základna Adobe Reader a cyberriminálové se budou nadále zaměřovat na využívání nejoblíbenějších kusy softwaru, řekl Stefan Tanase, senior bezpečnostní vědec antivirového dodavatele společnosti Kaspersky Lab. "Zatímco jsem nadšen, že prohlížeč Firefox dává více pozornosti na bezpečnost uživatelů, co mě znepokojuje je, že i technologie, na kterých je založen PDF.js, mohou být zranitelné."

Tanase poukázal na to, že zranitelnosti v prohlížeči prohlížeče JavaScript vykreslování motoru nejsou neobvyklé. Jako příklad ukázal na CVE-2013-0750, chybu zabezpečení pro spuštění kódu, která byla před několika dny opravena ve Firefoxu 18. Chyba je způsobena chybou ve způsobu, jakým prohlížeč vypočítá délku zřetězení řetězce JavaScript.

Tato zranitelnost není výjimkou, ale spíše pravidlem, uvedla Tanase. "Podobné jsou objevovány každý rok, většinou v každé verzi produktu a mohou být všichni použity útočníky ke spuštění kódu a instalace softwaru, což nevyžaduje žádnou interakci uživatele nad normální prohlížení."

Tato součást prohlížeče PDF může být bezpečnější než třetí -party plug-iny, pokud je napsán zcela v jazyce JavaScript / HTML5, řekl Thomas Kristensen, hlavní bezpečnostní důstojník společnosti Secunia,Problémy s bezpečností zůstávají

Nicméně to neznamená, že to není náchylné k zranitelnosti, řekl. "Pokud byla do prohlížeče přidána nová funkce nebo čtečka PDF jinak převáží v prohlížeči, může být zranitelná a stává se novým vektorem, který by mohl v prohlížeči využít těchto zranitelných míst."

"Z technického hlediska najdu je velmi zajímavé, že vytvářejí prohlížeč PDF, který využívá stávající schopnosti prohlížeče, "řekl Carsten Eiram, hlavní výzkumný pracovník bezpečnostní poradenské společnosti Risk Based Security. "Vzhledem k tomu, že prohlížeče jsou nyní pokročilé s podporou HTML5 a JavaScript, mohou skutečně analyzovat soubory PDF, což by znamenalo, že by mít samostatný prohlížeč PDF zbytečný pro většinu uživatelů, kteří potřebují pouze základní možnosti prohlížení PDF."

kód je na systému, tím méně je vystaven potenciálním útokům, řekl Eiram. Použití této vestavěné komponenty prohlížeče PDF namísto instalace samostatné aplikace čtečky PDF, která často obsahuje funkce, které mnoho uživatelů opravdu nepotřebuje a které mohou být zranitelné, snižuje celkový útočný povrch systému.

Tanase rovněž souhlasí s touto teorií. "Existuje zřejmý přínos pro použití stejného renderingu jak pro webové stránky, tak pro PDF, což je třeba zdůraznit: kódová základna je menší, proto je útočná plocha a potenciální riziko sníženy," uvedl.

Eiram se domnívá, že dojde k tomu, jak solidní jsou implementace JavaScript a HTML5 v prohlížeči. "Očekávám, že jakékoli zranitelnosti v těchto implementacích ovlivní také prohlížeč PDF," řekl.

Naštěstí, pokud jsou tyto chyby nalezeny, jejich opravu padne dodavateli prohlížeče. Výrobci prohlížečů, zejména Mozilla a Google, mají velmi dobré výsledky v oblasti správy zranitelných míst a v minulosti měli lepší mechanismy aktualizace než dodavatelé plug-in třetích stran, uvedla Tanase.