目录:
基于JavaScript和HTML5 Web技术的内置PDF查看器组件已添加到测试版本中Firefox 19周五表示,浏览器制造商将内置的PDF阅读器描述为比专有的PDF阅读插件更安全,更安全,就像Adobe Reader或福昕阅读器所安装的插件一样。然而,一些安全专家指出,它可能不会有任何漏洞。“几年来,在Firefox中查看PDF文件有几个插件,”Mozilla工程经理Bill Walker和Mozilla软件工程师Brendan Dahl说:星期五在一篇博文中。 “许多这些插件都带有专有的闭源代码,可能会使用户面临安全漏洞,PDF查看插件还附带了额外的代码,可以完成许多事情,Firefox已经无需使用专有代码(如绘制图像和文本)就可以完成这些工作。”
[进一步阅读:如何从Windows PC中删除恶意软件]
目前正在测试的内置PDF查看器来自Mozilla Labs项目,名为PDF.js. “PDF.js项目清楚地表明,HTML5和JavaScript现在已经足够强大,可以创建以前只能作为本机应用程序创建的应用程序,”Mozilla软件工程师说。 “不仅大多数PDF文件加载和渲染速度很快,而且安全运行,并且在浏览器中有一个家庭感觉的界面。”
“Firefox Beta中的PDF.js动态查看器是它成为Firefox发行版中完全集成功能的第一步因此所有Firefox用户都可以享受到它的好处,“Mozilla软件工程师表示,”
Mozilla没有澄清,即使安装了第三方PDF查看插件,默认情况下也会使用此查看器。该公司没有立即回应评论请求
对黑客的邀请少
安全专家认为,内置的PDF查看器将为用户提供更多的安全性,但不一定是因为它不容易作为第三方PDF查看器插件的漏洞
这种实现可能为最终用户提供更高的安全性,因为与Adobe Reader相比,它的用户群将更小,网络犯罪分子将继续专注于利用最受欢迎的杀毒软件供应商卡巴斯基实验室高级安全研究员Stefan Tanase通过电子邮件表示, “虽然我很高兴看到Firefox对用户的安全性给予额外的考虑,但令我担心的是,即使是PDF.js所基于的技术也很容易受到攻击。”Tanase指出,浏览器JavaScript中的漏洞渲染引擎并不少见。举个例子,他指向CVE-2013-0750,这是一个前几天在Firefox 18中修复的远程代码执行漏洞。该漏洞源于浏览器计算JavaScript字符串连接长度的方式中的一个错误。
此漏洞不是例外,而是规则,Tanase说。 “每年都会发现类似的攻击,主要是每个产品版本,攻击者可以使用它们来运行代码和安装软件,除正常浏览外,不需要用户进行任何交互。”
这个PDF阅读器组件可能比第三个漏洞智能供应商Secunia的首席安全官Thomas Kristensen通过电子邮件表示,如果它是完全用JavaScript / HTML5编写的,安全问题仍然存在
然而,这并不意味着它不容易出现漏洞,他说。 “如果新功能已被添加到浏览器中,或者PDF阅读器在浏览器中被赋予了特权,那么它可能很容易受到攻击,并成为在浏览器中利用这些漏洞的新载体。”<从技术角度来看,我发现非常有趣的是,他们正在创建一个利用浏览器现有功能的PDF查看器,“安全咨询公司Risk Based Security的首席研究官Carsten Eiram通过电子邮件表示。 “由于浏览器的HTML5和JavaScript支持如此先进以至于他们实际上可以解析PDF文件,因此对于大多数只需要基本的PDF查看功能的用户来说,它可能会让单独的PDF查看器毫无意义。”
通常, Eiram说,系统中存在的代码越少,潜在的攻击就越少。他说,使用这个内置的PDF查看器组件,而不是安装一个单独的PDF阅读器应用程序,这个应用程序通常包含许多用户并不真正需要并且易受攻击的功能,从而减少了系统的整体攻击面。用这个理论。 “对于需要指出的网页和PDF使用相同的渲染引擎有一个明显的好处:代码基数较小,因此攻击面和潜在风险降低,”Eiram认为,它将归结为JavaScript和HTML5实现在浏览器中的稳固程度。 “我希望这些实现中的任何漏洞也会影响PDF查看器,”他说,“幸运的是,如果发现这些漏洞,修复它们的工作就落在了浏览器供应商身上。 Tanase说,浏览器制造商,特别是Mozilla和谷歌,在管理漏洞方面有很好的记录,并且历史上比第三方插件供应商有更好的更新机制。