Программа просмотра PDF в Firefox может повысить безопасность с помощью скучных хакеров

В бета-версию добавлен встроенный компонент просмотра PDF на основе JavaScript и веб-технологий HTML5 из Firefox 19, Mozilla заявила в пятницу.

Разработчик браузера описал встроенный просмотрщик PDF как более безопасный и безопасный, чем проприетарные плагины для просмотра PDF, такие как установленные Adobe Reader или Foxit Reader. Однако несколько экспертов по безопасности отметили, что он, вероятно, не будет свободен от уязвимостей.

«В течение нескольких лет было несколько плагинов для просмотра PDF-файлов в Firefox», - сказал Mozilla Engineering Manager Билл Уокер и инженер-программист Mozilla Брендан Дал Пятница в блоге. «Многие из этих плагинов поставляются с закрытым исходным кодом, который может потенциально подвергать пользователей уязвимостям безопасности. В плагинах просмотра PDF также есть дополнительный код, который позволяет делать много вещей, которые Firefox уже делает без использования проприетарного кода, такого как рисование изображений и текст».

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

Встроенный просмотрщик PDF, который в настоящее время тестируется, связан с проектом Mozilla Labs под названием PDF.js. «Проект PDF.js ясно показывает, что HTML5 и JavaScript теперь достаточно мощны, чтобы создавать приложения, которые ранее могли быть созданы только как родные приложения», - сказали разработчики программного обеспечения Mozilla. «Мало того, что большинство PDF-файлов загружаются и визуализируются быстро, они безопасно работают и имеют интерфейс, который чувствует себя как дома в браузере».

Поскольку зритель использует стандартные API-интерфейсы HTML5 (интерфейсы прикладного программирования), он также может работать в разных браузерах и на разных платформах, таких как планшеты и мобильные телефоны. Живая демонстрация зрителя, работающего как веб-приложение, доступна на веб-сайте PDF.js.

«Средство просмотра PDF.js в Firefox Beta - это первый шаг к тому, чтобы стать полностью интегрированной функцией в выпуске Firefox поэтому его преимущества могут пользоваться всеми пользователями Firefox », - сказали разработчики программного обеспечения Mozilla.

Mozilla не уточнила, будет ли этот просмотрщик использоваться по умолчанию, даже в случае установки стороннего плагина для просмотра PDF. Компания не сразу ответила на запрос комментария.

Меньше приглашение хакерам

Эксперты по безопасности считают, что встроенный просмотрщик PDF обеспечит большую безопасность для пользователей, но не обязательно потому, что он не будет подвержен уязвимости в качестве сторонних плагинов для просмотра PDF-файлов.

Такая реализация может обеспечить большую безопасность для конечного пользователя, поскольку ее пользовательская база будет меньше по сравнению с версией Adobe Reader, и киберпреступники будут продолжать фокусироваться на использовании самых популярных части программного обеспечения, Стефан Тэнасе, старший научный сотрудник службы безопасности антивирусной компании «Лаборатория Касперского», сказал по электронной почте. «Хотя я очень рад видеть, что Firefox уделяет больше внимания безопасности своих пользователей, меня беспокоит то, что даже технологии, на которых базируется PDF.js, могут быть уязвимыми».

Tanase отметил, что уязвимости в JavaScript браузера рендеринг двигатель не редкость. В качестве примера он указал на CVE-2013-0750, уязвимость удаленного выполнения кода, зафиксированную в Firefox 18 несколько дней назад. Уязвимость возникает из-за ошибки в том, как браузер вычисляет длину для конкатенации строки JavaScript.

Эта уязвимость не является исключением, а скорее правилом, сказал Танасе. «Подобные обнаруживаются каждый год, в большинстве случаев каждая версия продукта, и все они могут использоваться злоумышленниками для запуска кода и установки программного обеспечения, не требуя взаимодействия с пользователем, выходящего за рамки обычного просмотра».

Этот компонент просмотра PDF может быть более безопасным, чем третий -партийные плагины, если они полностью написаны в JavaScript / HTML5, Томас Кристенсен, главный сотрудник службы безопасности уязвимости Secunia, сказал по электронной почте.

Вопросы безопасности остаются

Однако это не означает, что он не подвержен уязвимостям, сказал он. «Если новая функциональность была добавлена ​​в браузер или программа чтения PDF в противном случае становится привилегированной в браузере, тогда она может быть уязвимой и стать новым вектором для использования этих уязвимостей в браузере».

«С технической точки зрения я нахожу очень интересно, что они создают средство просмотра PDF, которое использует существующие возможности браузера », - сказал по электронной почте Карстен Эйрам, главный научный сотрудник консалтинговой фирмы Security Risk Security. «Поскольку браузеры теперь настолько продвинуты с поддержкой HTML5 и JavaScript, что они действительно могут анализировать файлы PDF, это может сделать отсутствие отдельного средства просмотра PDF бессмысленным для большинства пользователей, которым просто нужны основные возможности просмотра PDF».

В целом, чем меньше код есть в системе, тем меньше он подвергается потенциальным атакам, сказал Эйрам. Используя этот встроенный компонент просмотра PDF вместо установки отдельного приложения для чтения PDF, которое часто включает в себя функции, которые многим пользователям не нужны и которые могут быть уязвимыми, уменьшает общую поверхность атаки системы, сказал он.

Тэнасе также соглашается с этой теорией. «Существует явное преимущество использования одного и того же механизма рендеринга как для веб-страниц, так и для PDF-файлов, которые необходимо указать: база кода меньше, поэтому поверхность атаки и потенциальный риск снижаются», - сказал он.

Эйрам считает, что это дойдет до того, насколько надежны реализации JavaScript и HTML5 в браузере. «Я ожидаю, что любые уязвимости в этих реализациях повлияют на просмотрщик PDF тоже», - сказал он.

К счастью, если такие уязвимости обнаружены, работа по их исправлению относится к поставщику браузера. Tanase сказал, что разработчики браузеров, особенно Mozilla и Google, очень хорошо справляются с управлением уязвимостями и исторически имели лучшие механизмы обновления, чем сторонние производители плагинов.