Firefox PDF Viewer kann Sicherheit durch langweilige Hacker erhöhen

Der Beta-Version wurde eine integrierte PDF-Viewer-Komponente auf Basis von JavaScript- und HTML5-Webtechnologien hinzugefügt von Firefox 19, sagte Mozilla Freitag.

Der Browserhersteller beschrieb den eingebauten PDF-Viewer als sicherer und sicherer als proprietäre PDF-Anzeige-Plug-Ins, wie sie von Adobe Reader oder Foxit Reader installiert wurden. Mehrere Sicherheitsexperten stellten jedoch fest, dass es wahrscheinlich keine Sicherheitslücken geben wird.

"Seit einigen Jahren gibt es mehrere Plugins zum Anzeigen von PDFs in Firefox", sagten Mozilla-Technikmanager Bill Walker und Mozilla Software Engineer Brendan Dahl Freitag in einem Blogpost. "Viele dieser Plugins sind mit proprietärem, geschlossenem Quellcode ausgestattet, der Benutzer möglicherweise Sicherheitslücken aussetzen könnte. PDF-Anzeige-Plugins enthalten zusätzlichen Code für viele Dinge, die Firefox bereits ohne proprietären Code, wie das Zeichnen von Bildern und Text, gut macht."

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Der integrierte PDF-Viewer, der derzeit getestet wird, stammt aus einem Mozilla Labs-Projekt namens PDF.js. "Das PDF.js-Projekt zeigt deutlich, dass HTML5 und JavaScript jetzt leistungsfähig genug sind, um Anwendungen zu erstellen, die zuvor nur als native Anwendungen erstellt werden konnten", so die Mozilla-Softwareentwickler. "Die meisten PDFs werden nicht nur schnell geladen und gerendert, sie laufen auch sicher und haben eine Oberfläche, die sich im Browser anfühlt."

Da der Viewer Standard-HTML5-APIs (Anwendungsprogrammierschnittstellen) verwendet, kann er auch in verschiedenen Browsern ausgeführt werden auf verschiedenen Plattformen, wie Tablets und Mobiltelefone. Eine Live-Demo des Viewers, der als Web-Anwendung läuft, ist auf der PDF.js-Website verfügbar.

"Der PDF.js-Viewer in Firefox Beta ist der erste Schritt zu einem vollständig integrierten Feature innerhalb der Firefox-Version Daher können alle Firefox-Benutzer von dessen Vorteilen profitieren ", sagten die Mozilla-Softwareentwickler.

Mozilla hat nicht geklärt, ob dieser Viewer standardmäßig verwendet wird, selbst wenn ein PDF-Anzeige-Plug-in eines Drittanbieters installiert ist. Das Unternehmen reagierte nicht sofort auf eine Anfrage für einen Kommentar.

Weniger einladend für Hacker

Sicherheitsexperten glauben, dass der integrierte PDF-Viewer mehr Sicherheit für die Benutzer bietet, aber nicht unbedingt, weil er nicht anfällig dafür ist Sicherheitslücken als PDF-Viewer-Plug-Ins von Drittanbietern sind.

Eine solche Implementierung bietet dem Endbenutzer möglicherweise mehr Sicherheit, da seine Benutzerbasis im Vergleich zu Adobe Reader kleiner ist und Cyberkriminelle sich weiterhin auf die Nutzung der beliebtesten konzentrieren Englisch: www.saferinternet.org/ww/en/pub/ins…1007/dk1.htm Stefan Tanase, Senior Security Researcher bei Kaspersky Lab, sagte: "Obwohl ich gespannt bin, dass Firefox die Sicherheit seiner Benutzer besonders berücksichtigt, fürchte ich, dass sogar die Technologien, auf denen PDF.js basiert, anfällig sein können."

Tanase wies auf Sicherheitslücken im JavaScript des Browsers hin Rendering-Engine sind nicht ungewöhnlich. Als Beispiel verwies er auf CVE-2013-0750, eine vor einigen Tagen in Firefox 18 behobene Sicherheitsanfälligkeit bezüglich Remotecodeausführung. Die Sicherheitslücke beruht auf einem Fehler in der Art und Weise, wie der Browser die Länge einer JavaScript-String-Verkettung berechnet.

Diese Sicherheitsanfälligkeit ist nicht die Ausnahme, sondern die Regel, sagte Tanase. "Ähnliche werden jedes Jahr entdeckt, meistens in jeder Produktversion, und sie können alle von Angreifern zum Ausführen von Code und zum Installieren von Software verwendet werden, die keine Benutzerinteraktion über das normale Browsen hinaus erfordern."

Diese PDF-Viewer-Komponente könnte sicherer sein als Dritte -Party-Plug-Ins, wenn es komplett in JavaScript / HTML5 geschrieben ist, sagte Thomas Kristensen, der Chefsicherheitsbeauftragte des Sicherheitslücken-Anbieters Secunia per E-Mail.

Sicherheitsprobleme bleiben

Dies bedeutet jedoch nicht, dass es nicht anfällig für Schwachstellen ist, sagte er. "Wenn dem Browser neue Funktionen hinzugefügt wurden oder der PDF-Reader im Browser privilegiert wird, ist er möglicherweise anfällig und wird zu einem neuen Vektor, um diese Schwachstellen im Browser auszunutzen."

"Aus technischer Sicht finde ich Es ist sehr interessant, dass sie einen PDF-Viewer erstellen, der die vorhandenen Fähigkeiten des Browsers nutzt ", sagte Carsten Eiram, Chief Research Officer der Sicherheitsberatungsfirma Risk Based Security, per E-Mail. "Da Browser nun so fortschrittlich sind, dass HTML5 und JavaScript PDF-Dateien analysieren können, könnte es für die meisten Benutzer sinnlos sein, einen separaten PDF-Viewer zu verwenden, der nur grundlegende PDF-Funktionen benötigt."

Im Allgemeinen weniger Code, den es auf einem System gibt, desto weniger ist es möglichen Angriffen ausgesetzt, sagte Eiram. Mit dieser integrierten PDF-Viewer-Komponente anstelle einer separaten PDF-Reader-Anwendung, die häufig Funktionen enthält, die viele Benutzer nicht wirklich brauchen und die anfällig sein können, reduziert sich die Angriffsfläche des Systems insgesamt.

Auch Tanase stimmt zu mit dieser Theorie. "Es gibt einen klaren Vorteil, dieselbe Rendering-Engine sowohl für Webseiten als auch für PDFs zu verwenden. Die Code-Basis ist kleiner, daher sind die Angriffsfläche und das potenzielle Risiko geringer", sagte er.

Eiram glaubt das Es wird darauf ankommen, wie solide die JavaScript- und HTML5-Implementierungen im Browser sind. "Ich würde erwarten, dass Sicherheitslücken in diesen Implementierungen auch den PDF-Viewer betreffen", sagte er.

Glücklicherweise, wenn solche Sicherheitslücken gefunden werden, fällt die Aufgabe, sie zu beheben, an den Browser-Anbieter. Browser-Hersteller, insbesondere Mozilla und Google, haben eine sehr gute Erfolgsbilanz bei der Verwaltung von Schwachstellen und hatten in der Vergangenheit bessere Update-Mechanismen als Drittanbieter-Plug-in-Anbieter, sagte Tanase.