Trình xem PDF của Firefox có thể tăng cường bảo mật bằng tin tặc tẻ nhạt

Thành phần trình xem PDF tích hợp dựa trên công nghệ JavaScript và HTML5 đã được thêm vào phiên bản beta của Firefox 19, Mozilla cho biết hôm thứ Sáu.

Trình tạo trình duyệt đã mô tả trình xem PDF tích hợp an toàn hơn và an toàn hơn các trình cắm xem PDF độc quyền, giống như các trình cài đặt của Adobe Reader hoặc Foxit Reader. Tuy nhiên, một số chuyên gia bảo mật đã lưu ý rằng nó có thể sẽ không bị lỗ hổng.

"Trong nhiều năm đã có một số plugin để xem các tệp PDF trong Firefox", Mozilla Engineering Manager Bill Walker và Kỹ sư phần mềm Mozilla Brendan Dahl nói Thứ sáu trong một bài đăng trên blog. Các plugin xem PDF cũng có thêm mã để làm nhiều thứ mà Firefox đã làm tốt mà không có mã độc quyền, chẳng hạn như vẽ hình ảnh và văn bản. "

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Trình xem PDF tích hợp hiện đang được kiểm tra bắt nguồn từ dự án Mozilla Labs có tên PDF.js. "Các dự án PDF.js cho thấy rõ ràng rằng HTML5 và JavaScript giờ đây đủ mạnh để tạo ra các ứng dụng mà trước đây chỉ có thể được tạo ra như các ứng dụng gốc", các kỹ sư phần mềm của Mozilla cho biết. "Không chỉ làm hầu hết các tệp PDF tải và hiển thị nhanh, chúng chạy một cách an toàn và có giao diện cảm thấy như ở nhà trong trình duyệt."

Vì trình xem sử dụng API HTML5 chuẩn (giao diện lập trình ứng dụng), nó cũng có thể chạy trong các trình duyệt khác nhau và trên các nền tảng khác nhau, như máy tính bảng và điện thoại di động. Trình diễn trực tiếp của người xem đang chạy dưới dạng ứng dụng web có sẵn trên trang web PDF.js.

"Trình xem được hỗ trợ PDF.js trong Firefox Beta là bước đầu tiên để trở thành một tính năng được tích hợp đầy đủ trong phiên bản Firefox Vì vậy, lợi ích của nó có thể được hưởng bởi tất cả người dùng Firefox, "các kỹ sư phần mềm Mozilla cho biết.

Mozilla không làm rõ liệu người xem này có được sử dụng mặc định hay không, ngay cả trong trường hợp cài đặt plug-in PDF của bên thứ ba.

Ít mời đến tin tặc

Chuyên gia bảo mật tin rằng trình xem PDF tích hợp sẽ cung cấp bảo mật hơn cho người dùng, nhưng không nhất thiết vì nó sẽ không dễ bị các lỗ hổng như trình cắm PDF của bên thứ ba.

Việc triển khai như vậy có thể cung cấp bảo mật hơn cho người dùng cuối vì cơ sở người dùng của nó sẽ nhỏ hơn so với Adobe Reader và các tội phạm mạng sẽ tiếp tục tập trung vào khai thác phổ biến nhất các phần mềm, Stefan Tanase, một nhà nghiên cứu bảo mật cao cấp tại Kaspersky Lab, cho biết qua email. "Trong khi tôi rất vui khi thấy Firefox đưa ra nhiều suy nghĩ về tính bảo mật của người dùng, điều khiến tôi lo lắng là ngay cả những công nghệ mà PDF.js có thể bị tấn công."

Tanase đã chỉ ra các lỗ hổng trong JavaScript của trình duyệt công cụ dựng hình không phải là hiếm. Ví dụ, ông đã chỉ ra CVE-2013-0750, một lỗ hổng thực thi mã từ xa được khắc phục trong Firefox 18 một vài ngày trước. Lỗ hổng này xuất phát từ một lỗi trong cách trình duyệt tính toán độ dài của một chuỗi nối JavaScript.

Lỗ hổng này không phải là ngoại lệ, mà đúng hơn là quy tắc, Tanase nói. "Những cái tương tự được phát hiện mỗi năm, trong hầu hết mọi phiên bản sản phẩm và tất cả chúng đều có thể được kẻ tấn công sử dụng để chạy mã và cài đặt phần mềm, không yêu cầu tương tác người dùng ngoài trình duyệt bình thường."

Thành phần trình xem PDF này có thể an toàn hơn các trình cắm thêm -party nếu nó được viết hoàn toàn bằng JavaScript / HTML5, Thomas Kristensen, giám đốc an ninh tại nhà cung cấp thông tin dễ bị tổn thương Secunia, cho biết qua email.

Vấn đề an ninh vẫn còn

Tuy nhiên, điều này không có nghĩa là nó không dễ bị tổn thương, ông nói. "Nếu chức năng mới đã được thêm vào trình duyệt hoặc trình đọc PDF nếu không sẽ trở thành đặc quyền trong trình duyệt, thì nó có thể dễ bị tổn thương và trở thành một vectơ mới để khai thác các lỗ hổng này trong trình duyệt."

Thật thú vị khi họ đang tạo ra một trình xem PDF sử dụng các khả năng hiện có của trình duyệt, "Carsten Eiram, giám đốc nghiên cứu của công ty tư vấn bảo mật Risk Based Security, cho biết qua email. "Vì trình duyệt hiện nay rất tiên tiến với hỗ trợ HTML5 và JavaScript nên chúng có thể phân tích cú pháp các tệp PDF, nó có thể khiến người xem PDF riêng lẻ vô dụng đối với hầu hết người dùng, những người chỉ cần khả năng xem PDF cơ bản."

Nói chung, Eiram cho biết, có mã trên hệ thống, ít bị phơi nhiễm hơn. Sử dụng thành phần trình xem PDF tích hợp này thay vì cài đặt một ứng dụng đọc PDF riêng biệt thường bao gồm các tính năng mà nhiều người dùng không thực sự cần và có thể dễ bị tổn thương, làm giảm bề mặt tấn công tổng thể của hệ thống. với lý thuyết này. "Có một lợi ích rõ ràng khi sử dụng cùng một công cụ kết xuất cho cả trang web và PDF cần được chỉ ra: cơ sở mã nhỏ hơn, do đó bề mặt tấn công và nguy cơ tiềm năng bị hạ xuống", ông nói. nó sẽ đi xuống đến mức độ triển khai của JavaScript và HTML5 trong trình duyệt. "Tôi sẽ mong đợi bất kỳ lỗ hổng nào trong việc triển khai này cũng ảnh hưởng đến trình xem PDF", anh nói.

May mắn thay, nếu tìm thấy các lỗ hổng đó, công việc sửa chúng rơi vào nhà cung cấp trình duyệt. Các nhà sản xuất trình duyệt, đặc biệt là Mozilla và Google, có một hồ sơ theo dõi rất tốt về quản lý các lỗ hổng và lịch sử đã có cơ chế cập nhật tốt hơn so với các nhà cung cấp trình cắm thêm của bên thứ ba, Tanase nói.