Przeglądarka Firefoksa może zwiększyć bezpieczeństwo poprzez wytępianie hakerów

W wersji beta dodano wbudowany komponent przeglądarki PDF oparty na technologiach JavaScript i HTML5 Web. Firefox 19, Mozilla powiedział w piątek.

Producent przeglądarki opisał wbudowaną przeglądarkę plików PDF jako bezpieczniejszą i bezpieczniejszą niż opatentowane wtyczki do przeglądania plików PDF, takie jak te zainstalowane przez Adobe Reader lub Foxit Reader. Jednak kilku ekspertów ds. Bezpieczeństwa zauważyło, że prawdopodobnie nie będzie wolne od luk w zabezpieczeniach.

"Od wielu lat istnieje kilka wtyczek do przeglądania plików PDF w Firefoksie" powiedział kierownik projektu Mozilla Bill Walker i inżynier oprogramowania Mozilla Brendan Dahl Piątek w poście na blogu. "Wiele z tych wtyczek ma zastrzeżony, zamknięty kod źródłowy, który potencjalnie może narazić użytkowników na luki w zabezpieczeniach Wtyczki do przeglądania plików PDF również zawierają dodatkowy kod, który pozwala na wiele rzeczy, które Firefox już robi dobrze, bez żadnego zastrzeżonego kodu, takiego jak rysowanie obrazów i tekstu".

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Wbudowana przeglądarka plików PDF obecnie testowana pochodzi z projektu Mozilla Labs o nazwie PDF.js. "Projekt PDF.js wyraźnie pokazuje, że HTML5 i JavaScript są teraz wystarczająco potężne, aby tworzyć aplikacje, które wcześniej mogły być tworzone tylko jako aplikacje natywne" - mówią inżynierowie oprogramowania Mozilli. "Nie tylko większość plików PDF ładuje się i renderuje szybko, działają bezpiecznie i mają interfejs, który czuje się jak w domu w przeglądarce."

Ponieważ przeglądarka używa standardowych API HTML5 (interfejsów programowania aplikacji), może również działać w różnych przeglądarkach i na różnych platformach, takich jak tablety i telefony komórkowe. Wersja demonstracyjna przeglądarki działająca jako aplikacja internetowa jest dostępna na stronie internetowej PDF.js.

"Przeglądarka obsługiwana przez PDF.js w Firefox Beta jest pierwszym krokiem do jej pełnej integracji z wersją przeglądarki Firefox tak więc wszyscy użytkownicy Firefoksa mogą czerpać z niego korzyści ", stwierdzili inżynierowie oprogramowania Mozilli.

Mozilla nie wyjaśniła, czy ta przeglądarka będzie używana domyślnie nawet w przypadku, gdy zainstalowana jest wtyczka do przeglądania plików PDF innej firmy. Firma nie odpowiedziała natychmiast na prośbę o komentarz.

Mniej zachęcające dla hakerów

Eksperci ds. Bezpieczeństwa uważają, że wbudowana przeglądarka plików PDF zapewnia większe bezpieczeństwo użytkownikom, ale niekoniecznie dlatego, że nie będzie podatna na Luki w zabezpieczeniach jako wtyczki przeglądarki stron trzecich są.

Taka implementacja może zapewnić większe bezpieczeństwo użytkownikowi końcowemu, ponieważ jego baza użytkowników będzie mniejsza niż w programie Adobe Reader, a cyberprzestępcy będą nadal koncentrować się na wykorzystaniu najpopularniejszych oprogramowania, Stefan Tanase, starszy analityk bezpieczeństwa w firmie antywirusowej Kaspersky Lab, powiedział za pośrednictwem poczty elektronicznej. "Chociaż jestem podekscytowany widząc, że Firefox daje dodatkową uwagę bezpieczeństwu swoich użytkowników, niepokoi mnie to, że nawet technologie, na których oparty jest PDF.js, mogą być podatne na atak."

Tanase zwrócił uwagę na luki w zabezpieczeniach JavaScript w przeglądarce silnik renderujący nie jest niczym niezwykłym. Jako przykład wskazał na CVE-2013-0750, usterkę zdalnego wykonania kodu, naprawioną w Firefoksie 18 kilka dni temu. Luka wynika z błędu w sposobie, w jaki przeglądarka oblicza długość dla konkatenacji ciągów JavaScript.

Ta luka nie jest wyjątkiem, ale raczej regułą, powiedział Tanase. "Podobne są odkrywane co roku, w większości każdej wersji produktu i wszystkie mogą być używane przez atakujących do uruchamiania kodu i instalowania oprogramowania, co nie wymaga interakcji użytkownika poza normalnym przeglądaniem."

Ten komponent przeglądarki PDF może być bezpieczniejszy niż trzeci -party wtyczki, jeśli jest napisana w całości w JavaScript / HTML5, Thomas Kristensen, główny specjalista ds. bezpieczeństwa w firmie Secunia, zajmującej się analizą luk w zabezpieczeniach, powiedział za pośrednictwem poczty elektronicznej.

Kwestie bezpieczeństwa pozostają

Jednak nie oznacza to, że nie jest podatny na luki w zabezpieczeniach, powiedział. "Jeśli do przeglądarki zostanie dodana nowa funkcjonalność lub czytnik PDF stanie się uprzywilejowany w przeglądarce, może być on podatny na ataki i stać się nowym wektorem do wykorzystania tych luk w przeglądarce."

"Z technicznego punktu widzenia znajduję bardzo interesujące jest to, że tworzą przeglądarkę plików PDF, która wykorzystuje istniejące możliwości przeglądarki, "powiedział Carsten Eiram, główny specjalista ds. badań w firmie doradczej ds. bezpieczeństwa, Risk Based Security, za pośrednictwem poczty elektronicznej. "Ponieważ przeglądarki są teraz tak zaawansowane dzięki obsłudze HTML5 i JavaScript, że mogą faktycznie parsować pliki PDF, może to sprawić, że oddzielna przeglądarka plików PDF będzie bezużyteczna dla większości użytkowników, którzy po prostu potrzebują podstawowych możliwości przeglądania plików PDF."

Na ogół mniej kod jest w systemie, tym mniej narażony jest na potencjalne ataki, powiedział Eiram. Korzystanie z tego wbudowanego komponentu przeglądarki PDF zamiast instalowania oddzielnej aplikacji do odczytu plików PDF, która często zawiera funkcje, których wielu użytkowników naprawdę nie potrzebuje i które mogą być podatne na ataki, zmniejsza ogólną powierzchnię ataku systemu, powiedział.

Tanase zgadza się również z tą teorią. "Istnieje wyraźna korzyść z używania tego samego mechanizmu renderującego dla obu stron internetowych i plików PDF, które należy podkreślić: podstawa kodu jest mniejsza, dlatego powierzchnia ataku i potencjalne ryzyko są obniżone", powiedział.

Eiram uważa, że Sprowadzi się do tego, jak solidnie są implementacje JavaScript i HTML5 w przeglądarce. "Spodziewam się, że wszelkie luki w tych implementacjach będą miały wpływ również na przeglądarkę plików PDF", powiedział.

Na szczęście, jeśli wykryje się takie luki, zadanie ich naprawy sprowadza się do dostawcy przeglądarki. Twórcy przeglądarek, zwłaszcza Mozilla i Google, mają bardzo dobre wyniki w zakresie zarządzania lukami w zabezpieczeniach i historycznie mają lepsze mechanizmy aktualizacji niż zewnętrzni dostawcy wtyczek, powiedział Tanase.