Έχει ενσωματωθεί ένα ενσωματωμένο στοιχείο προβολής PDF βασισμένο σε τεχνολογίες JavaScript JavaScript και HTML5 στην έκδοση beta

«Για αρκετά χρόνια υπήρχαν πολλά πρόσθετα για την προβολή αρχείων PDF στο Firefox», δήλωσε ο Μπλάκτλαντ Ντάλ Παρασκευή σε μια δημοσίευση στο blog. "Πολλά από αυτά τα plug-ins έρχονται με αποκλειστικό κλειστό πηγαίο κώδικα που θα μπορούσε ενδεχομένως να εκθέσει τους χρήστες σε ευπάθειες ασφαλείας. Τα plugins προβολής PDF έρχονται επίσης με επιπλέον κώδικα για να κάνουν πολλά πράγματα που ο Firefox κάνει καλά χωρίς κανένα ιδιόκτητο κώδικα, όπως εικόνες και κείμενο.

Ο ενσωματωμένος προβολέας PDF που εξετάζεται αυτή τη στιγμή προέρχεται από ένα έργο του Mozilla Labs που ονομάζεται PDF.js. "Το έργο PDF.js δείχνει σαφώς ότι το HTML5 και το JavaScript είναι πλέον αρκετά ισχυρά για να δημιουργήσουν εφαρμογές που θα μπορούσαν προηγουμένως να έχουν δημιουργηθεί μόνο ως εγγενείς εφαρμογές", ανέφεραν οι μηχανικοί του λογισμικού Mozilla. "Όχι μόνο τα περισσότερα PDF φορτώνουν και αποδίδουν γρήγορα, τρέχουν με ασφάλεια και έχουν μια διασύνδεση που αισθάνεται στο σπίτι στο πρόγραμμα περιήγησης."

Δεδομένου ότι ο θεατής χρησιμοποιεί τυπικά API HTML5 (διεπαφές προγραμματισμού εφαρμογών), μπορεί επίσης να τρέξει σε διαφορετικά προγράμματα περιήγησης σε διαφορετικές πλατφόρμες, όπως δισκία και κινητά τηλέφωνα. Μια ζωντανή επίδειξη του θεατή που εκτελείται ως εφαρμογή Ιστού είναι διαθέσιμη στον ιστότοπο PDF.js.

"Το πρόγραμμα προβολής που υποστηρίζεται από το PDF.js στο Firefox Beta είναι το πρώτο βήμα για να γίνει ένα πλήρως ενσωματωμένο χαρακτηριστικό μέσα στην έκδοση του Firefox οπότε τα οφέλη του μπορούν να επωφεληθούν από όλους τους χρήστες του Firefox ", ανέφεραν οι μηχανικοί του Mozilla.

Η Mozilla δεν διευκρίνισε εάν ο θεατής θα χρησιμοποιηθεί από προεπιλογή ακόμα και σε περιπτώσεις που έχει εγκατασταθεί μια προσθήκη προβολής PDF τρίτου κατασκευαστή. Η εταιρεία δεν απάντησε άμεσα σε ένα αίτημα για σχολιασμό

Λιγότερο προσκαλώντας τους hackers

Οι ειδικοί της ασφάλειας πιστεύουν ότι ο ενσωματωμένος προβολέας PDF θα προσφέρει μεγαλύτερη ασφάλεια στους χρήστες, αλλά όχι απαραίτητα επειδή δεν θα είναι επιρρεπείς όπως είναι οι προσθήκες προβολής τρίτου κατασκευαστή PDF

. Μια τέτοια εφαρμογή μπορεί να προσφέρει περισσότερη ασφάλεια στον τελικό χρήστη, επειδή η βάση χρηστών της θα είναι μικρότερη σε σύγκριση με αυτήν του Adobe Reader, ενώ οι κυβερνοεγκληματίες θα συνεχίσουν να επικεντρώνονται στην εκμετάλλευση των πιο δημοφιλών κομμάτια λογισμικού, ο Stefan Tanase, ανώτερος ερευνητής ασφάλειας στον πωλητή ιών Kaspersky Lab, δήλωσε μέσω ηλεκτρονικού ταχυδρομείου. "Ενώ είμαι ενθουσιασμένος που βλέπω τον Firefox να σκεφτεί επιπλέον την ασφάλεια των χρηστών του, αυτό που με ανησυχεί είναι ότι ακόμη και οι τεχνολογίες στις οποίες βασίζεται το PDF.js μπορεί να είναι ευάλωτες."

Ο Tanase επεσήμανε ότι τα τρωτά σημεία του JavaScript του προγράμματος περιήγησης η απόδοση του κινητήρα δεν είναι ασυνήθιστη. Για παράδειγμα, επεσήμανε την CVE-2013-0750, μια απομακρυσμένη αδυναμία εκτέλεσης κώδικα που έχει οριστεί στον Firefox 18 πριν από λίγες ημέρες. Η ευπάθεια απορρέει από ένα σφάλμα στον τρόπο με τον οποίο το πρόγραμμα περιήγησης υπολογίζει το μήκος μιας αλληλουχίας συμβολοσειρών JavaScript.

Αυτή η ευπάθεια δεν είναι η εξαίρεση, αλλά ο κανόνας, δήλωσε ο Tanase. "Παρόμοιες ανακαλύπτονται κάθε χρόνο, κυρίως σε κάθε έκδοση του προϊόντος και όλες μπορούν να χρησιμοποιηθούν από τους εισβολείς για να τρέξουν κώδικα και να εγκαταστήσουν λογισμικό, χωρίς να χρειάζεται αλληλεπίδραση χρήστη πέρα ​​από την κανονική περιήγηση."

Αυτό το στοιχείο προβολής PDF μπορεί να είναι πιο ασφαλές από το τρίτο -party plug-ins, αν είναι γραμμένο εξ ολοκλήρου σε JavaScript / HTML5, ο Thomas Kristensen, ο επικεφαλής της ασφάλειας στον πωλητή πληροφοριών ευπάθειας Secunia, δήλωσε μέσω ηλεκτρονικού ταχυδρομείου.

Τα θέματα ασφάλειας παραμένουν

Ωστόσο, αυτό δεν σημαίνει ότι δεν είναι επιρρεπείς σε τρωτά σημεία, είπε. "Αν έχει προστεθεί νέα λειτουργικότητα στο πρόγραμμα περιήγησης ή ο αναγνώστης PDF γίνεται με άλλο τρόπο προνομιακό στο πρόγραμμα περιήγησης, τότε μπορεί να είναι ευάλωτος και να γίνει νέος φορέας εκμετάλλευσης αυτών των τρωτών σημείων στο πρόγραμμα περιήγησης."

"Από τεχνική άποψη, είναι πολύ ενδιαφέρον το γεγονός ότι δημιουργούν ένα πρόγραμμα προβολής PDF που χρησιμοποιεί τις υπάρχουσες δυνατότητες του προγράμματος περιήγησης ", δήλωσε ο Carsten Eiram, επικεφαλής ερευνητής στην εταιρεία παροχής συμβουλών ασφαλείας Risk Based Security, δήλωσε μέσω ηλεκτρονικού ταχυδρομείου. "Δεδομένου ότι τα προγράμματα περιήγησης είναι τώρα τόσο προηγμένα με υποστήριξη HTML5 και JavaScript, ώστε να μπορούν να αναλύσουν τα αρχεία PDF, θα μπορούσαν να έχουν ξεχωριστό προβολέα PDF χωρίς νόημα για τους περισσότερους χρήστες που χρειάζονται απλώς τις βασικές δυνατότητες προβολής PDF."

κώδικα υπάρχει σε ένα σύστημα, τόσο λιγότερο εκτεθειμένο είναι σε πιθανές επιθέσεις, δήλωσε ο Eiram. Χρησιμοποιώντας αυτό το ενσωματωμένο στοιχείο προβολής PDF αντί να εγκαταστήσετε μια ξεχωριστή εφαρμογή ανάγνωσης PDF που συχνά περιλαμβάνει λειτουργίες που δεν χρειάζονται πραγματικά πολλοί χρήστες και οι οποίες μπορεί να είναι ευάλωτες, μειώνει τη συνολική επιφάνεια επίθεσης του συστήματος, ανέφερε.

Η Tanase συμφωνεί επίσης με αυτή τη θεωρία. "Υπάρχει ένα σαφές όφελος για τη χρήση της ίδιας μηχανής απόδοσης τόσο για ιστοσελίδες όσο και για PDF που πρέπει να επισημανθεί: η βάση κώδικα είναι μικρότερη, επομένως η επιφάνεια επίθεσης και ο δυνητικός κίνδυνος μειώνονται", δήλωσε ο κ. Eiram. θα καταλήξει στο πόσο στερεές είναι οι υλοποιήσεις JavaScript και HTML5 στο πρόγραμμα περιήγησης. "Αναμένω ότι οποιαδήποτε ευπάθεια στις εφαρμογές αυτές θα επηρεάσει και τον θεατή PDF", δήλωσε.

Ευτυχώς, εάν εντοπιστούν τέτοιες ευπάθειες, η δουλειά της επίλυσης τους πέφτει στον πωλητή του προγράμματος περιήγησης. Οι υπεύθυνοι για το πρόγραμμα περιήγησης, ειδικά το Mozilla και το Google, έχουν πολύ καλή ιστορία διαχείρισης των τρωτών σημείων και έχουν ιστορικούς καλύτερους μηχανισμούς ενημέρωσης από τους προμηθευτές plug-in τρίτων, δήλωσε ο Tanase.