Firefox'un PDF görüntüleyicisi, bilgisayar korsanlarını sıkarak güvenliği artırabilir

JavaScript ve HTML5 Web teknolojilerine dayanan yerleşik bir PDF görüntüleyici bileşeni beta sürümüne eklendi Firefox 19, Mozilla Cuma dedi.

Tarayıcı üreticisi, Adobe Reader veya Foxit Reader tarafından yüklenenler gibi, yerleşik PDF görüntüleyiciyi, tescilli PDF görüntüleme eklentilerinden daha güvenli ve daha güvenli olarak açıkladı. Ancak, birkaç güvenlik uzmanı, muhtemelen güvenlik açıklarından arınmış olmayacağını belirtti.

"Birkaç yıl boyunca, Firefox'ta PDF'leri görüntülemek için birkaç eklenti vardı," Mozilla Mühendislik Müdürü Bill Walker ve Mozilla Yazılım Mühendisi Brendan Dahl, Bir blogda Cuma günü. "Bu eklentilerin çoğu, kullanıcıları güvenlik açıklarına maruz bırakabilecekleri özel bir kapalı kaynak koduna sahipler. PDF görüntüleme eklentileri, Firefox'un zaten resim ve metin çizme gibi özel bir kodla pek çok şeyi yapabilmesi için fazladan bir kod ile birlikte gelir."

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Şu anda test edilen yerleşik PDF görüntüleyici, PDF.js. adlı bir Mozilla Labs projesinden kaynaklanıyor. Mozilla yazılım mühendisleri, "PDF.js projesi, HTML5 ve JavaScript'in daha önce yalnızca yerel uygulamalar olarak oluşturulmuş uygulamaları oluşturmak için yeterince güçlü olduğunu açıkça gösteriyor." Dedi. "PDF'lerin çoğu sadece hızlı bir şekilde yüklenip oluşturulmakla kalmıyor, güvenli bir şekilde çalışıyor ve tarayıcıda evde hissedilen bir arayüze sahip."

İzleyici standart HTML5 API'lerini (uygulama programlama arayüzleri) kullandığı için, farklı tarayıcılarda da çalışabilir. tabletler ve cep telefonları gibi farklı platformlarda. Bir Web uygulaması olarak çalışan izleyicinin canlı bir demosu PDF.js web sitesinde mevcuttur.

"Firefox Beta'daki PDF.js destekli izleyici, Firefox'un yayın sürümünde tam entegre bir özellik haline gelmenin ilk adımıdır. Bu sayede tüm Firefox kullanıcıları faydalanabilir. "Mozilla yazılım mühendisleri şöyle dedi.

Mozilla, üçüncü taraf PDF görüntüleme eklentisinin yüklü olduğu durumlarda bile bu görüntüleyicinin varsayılan olarak kullanılıp kullanılamayacağını netleştirmedi. Şirket, bir yorum talebine derhal yanıt vermedi.

Hacker'lara daha az davet

Güvenlik uzmanları, yerleşik PDF görüntüleyicinin kullanıcılar için daha fazla güvenlik sağlayacağına inanıyor. üçüncü taraf PDF görüntüleyici eklentileri gibi güvenlik açıkları.

Böyle bir uygulama, son kullanıcı için daha fazla güvenlik sağlayabilir çünkü kullanıcı tabanı Adobe Reader ile karşılaştırıldığında daha küçük olacaktır ve siber suçlular en popüler olanı kullanmaya odaklanmaya devam edecektir. antivirüs satıcısı Kaspersky Lab'de kıdemli güvenlik araştırmacısı olan Stefan Tanase, e-posta yoluyla yazılım parçalarını söyledi. “Firefox'un kullanıcılarının güvenliğine ekstra bir düşünce kattığını görmek beni heyecanlandırsa da, beni endişelendiren şey, PDF.js'nin temel aldığı teknolojilerin bile savunmasız olabileceğidir.”

Tanase, tarayıcının JavaScript'teki güvenlik açıklarına dikkat çekti. oluşturma motoru nadir değildir. Örnek olarak, birkaç gün önce Firefox 18'de çözülen bir uzaktan kod yürütme güvenlik açığı olan CVE-2013-0750'ye işaret etti. Bu güvenlik açığı, tarayıcının bir JavaScript dizgisi birleştirme için uzunluğu hesapladığı bir hatadan kaynaklanıyor.

Bu güvenlik açığı istisna değil, kuraldır, Tanase. "Her yıl, her ürün sürümünde benzerler keşfediliyor ve hepsi de saldırganlar tarafından kod çalıştırmak ve yazılım yüklemek için kullanılabilecek ve normal tarama dışında kullanıcı etkileşimi gerektirmeyebiliyor."

Bu PDF görüntüleyici bileşeni üçüncü tarafa göre daha güvenli olabilir. tarafındaki eklentiler, tamamen JavaScript / HTML5'te yazılırsa, güvenlik açığı istihbarat satıcısı Secunia'nın güvenlik sorumlusu Thomas Kristensen, e-posta yoluyla şunları söyledi:

Güvenlik sorunları

olarak kalıyor. Ancak bu, güvenlik açıklarına eğilimli olmadığı anlamına gelmiyor, dedi. "Tarayıcıya yeni işlevler eklendiyse veya PDF okuyucu tarayıcıda ayrıcalıklı hale gelirse, bu durumda bu güvenlik açığından etkilenebilir ve tarayıcıda bu güvenlik açıklarından yararlanacak yeni bir vektör haline gelebilir."

"Teknik açıdan baktığımda e-posta yoluyla güvenlik danışmanlığı firması Risk Based Security'deki baş araştırma görevlisi olan Carsten Eiram, tarayıcının mevcut yeteneklerini kullanan bir PDF görüntüleyici oluşturmayı çok ilginç buluyor. "Artık tarayıcılar HTML5 ve JavaScript desteği ile artık PDF dosyalarını ayrıştırabildiğinden, çoğu kullanıcı için temel PDF görüntüleme yeteneklerine gereksinim duyan ayrı bir PDF görüntüleyicisine sahip olmalarını sağlayabilir."

Genel olarak, daha az Eiram, bir sistemde kodun, potansiyel saldırılara daha az maruz kaldığını söyledi. Bu yerleşik PDF görüntüleyici bileşenini kullanmak, çoğu kullanıcının gerçekten ihtiyaç duymadığı ve hassas olabilecekleri özellikleri içeren ayrı bir PDF okuyucu uygulaması kurmak yerine, sistemin genel saldırı yüzeyini azaltır.

Tanase ayrıca kabul eder. bu teori ile. "Web sayfalarının ve PDF'lerin işaret edilmesi gereken aynı işleme motorunu kullanmanın açık bir avantajı var: kod tabanı daha küçük, bu nedenle saldırı yüzeyi ve potansiyel risk azaltıldı" dedi.

Eiram buna inanıyor. JavaScript ve HTML5 uygulamalarının tarayıcıda ne kadar katı olduğuna iner. “Bu uygulamalardaki güvenlik açıklarının da PDF görüntüleyiciyi etkilemesini bekliyorum” dedi.

Neyse ki, eğer bu tür güvenlik açıkları bulunursa, bunları düzeltme işi tarayıcı satıcısına düşüyor. Tanase, özellikle Mozilla ve Google gibi tarayıcı üreticilerinin, güvenlik açıklarını yönetme konusunda çok iyi bir geçmişe sahip olduklarını ve tarihsel olarak üçüncü taraf eklenti satıcılarından daha iyi güncelleme mekanizmalarına sahip olduklarını söyledi.