O visualizador de PDF do Firefox pode aumentar a segurança de hackers chato

Um componente interno de visualizador de PDF baseado em tecnologias JavaScript e HTML5 foi adicionado à versão beta. O fabricante do navegador descreveu o visualizador de PDF integrado como mais seguro e seguro do que os plug-ins de visualização de PDF proprietários, como aqueles instalados pelo Adobe Reader ou pelo Foxit Reader. No entanto, vários especialistas em segurança observaram que provavelmente não estarão livres de vulnerabilidades. "Por vários anos, houve vários plugins para a visualização de PDFs dentro do Firefox", disseram Bill Walker, gerente de engenharia da Mozilla, e Brendan Dahl, engenheiro de software da Mozilla. Sexta-feira em um post no blog. "Muitos desses plugins vêm com códigos proprietários fechados que podem expor os usuários a vulnerabilidades de segurança. Os plugins de visualização de PDF também vêm com código extra para fazer muitas coisas que o Firefox já faz bem sem código proprietário, como desenhar imagens e texto."

[Leitura adicional: Como remover malware do seu PC com Windows]

O visualizador de PDF embutido atualmente sendo testado deriva de um projeto da Mozilla Labs chamado PDF.js. "O projeto PDF.js mostra claramente que HTML5 e JavaScript agora são poderosos o suficiente para criar aplicativos que anteriormente só poderiam ter sido criados como aplicativos nativos", disseram os engenheiros de software da Mozilla. "A maioria dos PDFs carrega e renderiza rapidamente, eles são executados com segurança e têm uma interface que se sente em casa no navegador."

Como o visualizador usa APIs HTML5 padrão (interfaces de programação de aplicativos), ele também pode ser executado em diferentes navegadores e navegadores. em diferentes plataformas, como tablets e telefones celulares. Uma demonstração ao vivo do visualizador em execução como um aplicativo da Web está disponível no site PDF.js.

"O visualizador com tecnologia PDF.js no Firefox Beta é o primeiro passo para se tornar um recurso totalmente integrado na versão do Firefox então, seus benefícios podem ser aproveitados por todos os usuários do Firefox ", disseram os engenheiros de software da Mozilla.

A Mozilla não esclareceu se esse visualizador será usado por padrão, mesmo quando um plug-in de visualização de PDF de terceiros está instalado. A empresa não respondeu imediatamente a um pedido de comentário.

Menos convidativo para hackers

Especialistas em segurança acreditam que o visualizador de PDF embutido fornecerá mais segurança aos usuários, mas não necessariamente porque não estará propenso a vulnerabilidades como os plug-ins de visualizador de PDF de terceiros são.

Essa implementação pode fornecer mais segurança para o usuário final porque sua base de usuários será menor em comparação com a do Adobe Reader e os cibercriminosos continuarão a se concentrar na exploração dos mais populares Stefan Tanase, pesquisador sênior de segurança da Kaspersky Lab, fornecedora de antivírus, disse por e-mail. "Embora eu esteja animado em ver o Firefox dando mais atenção à segurança de seus usuários, o que me preocupa é que mesmo as tecnologias nas quais o PDF.js é baseado podem ser vulneráveis."

Tanase apontou que vulnerabilidades no JavaScript do navegador motor de renderização não são incomuns. Como exemplo, ele apontou para CVE-2013-0750, uma vulnerabilidade de execução remota de código corrigida no Firefox 18 há alguns dias. A vulnerabilidade vem de um bug na forma como o navegador calcula o tamanho de uma concatenação de cadeia de caracteres JavaScript.

Esta vulnerabilidade não é a exceção, mas sim a regra, disse Tanase. "Semelhantes são descobertos todos os anos, na maioria das versões de produtos e todos podem ser usados ​​por invasores para executar código e instalar software, não exigindo interação do usuário além da navegação normal."

Esse componente de visualizador de PDF pode ser mais seguro que o terceiro. Os plug-ins de terceiros, se forem escritos inteiramente em JavaScript / HTML5, disse Thomas Kristensen, chefe de segurança da Secunia, fornecedora de inteligência em vulnerabilidade, por e-mail.

As questões de segurança permanecem

No entanto, isso não significa que não seja propenso a vulnerabilidades, disse ele. "Se uma nova funcionalidade tiver sido adicionada ao navegador ou se o leitor de PDF se tornar privilegiado no navegador, ela poderá ficar vulnerável e se tornar um novo vetor para explorar essas vulnerabilidades no navegador."

"Do ponto de vista técnico, É muito interessante que eles estejam criando um visualizador de PDF que utiliza os recursos existentes do navegador ", disse Carsten Eiram, diretor de pesquisa da consultoria de segurança Risk Based Security, por e-mail. "Como os navegadores agora são tão avançados com suporte a HTML5 e JavaScript que podem analisar arquivos PDF, isso pode tornar o visualizador de PDF separado sem sentido para a maioria dos usuários, que precisam apenas de recursos básicos de visualização de PDF."

Em geral, quanto menos Código existe em um sistema, o menos exposto é a potenciais ataques, disse Eiram. Usando esse componente visualizador de PDF embutido, em vez de instalar um aplicativo separado de leitura de PDF que muitas vezes inclui recursos que muitos usuários realmente não precisam e que podem ser vulneráveis, ele reduz a superfície de ataque do sistema. com esta teoria. "Há um claro benefício em usar o mesmo mecanismo de renderização para páginas da Web e PDFs que precisa ser apontado: o código base é menor, portanto a superfície de ataque e o risco potencial são reduzidos", disse ele. Ele se resume a quão sólidas as implementações de JavaScript e HTML5 estão no navegador. "Eu esperaria que quaisquer vulnerabilidades nessas implementações também afetassem o visualizador de PDF", disse ele.

Felizmente, se essas vulnerabilidades forem encontradas, o trabalho de corrigi-las recai sobre o fornecedor do navegador. Os fabricantes de navegadores, especialmente o Mozilla e o Google, têm um histórico muito bom de gerenciamento de vulnerabilidades e, historicamente, têm mecanismos de atualização melhores do que os fornecedores de plug-ins de terceiros, disse Tanase.