一个内置的PDF查看器组件基于JavaScript和HTML5 Web技术添加到测试版火狐19日Mozilla星期五说。
浏览器制造商形容内置的PDF查看器更安全比专有PDF查看安全插件,如安装Adobe Reader或福昕阅读器。然而,一些安全专家指出,这可能不会是免费的漏洞。
浏览器之战:Chrome和Firefox和IE和歌剧
“许多年来已经有几个在Firefox插件查看pdf文件,“Mozilla工程经理比尔·沃克和Mozilla软件工程师丹达尔在周五说博客。“其中许多插件和专有封闭源代码,可能暴露用户安全漏洞。PDF查看插件附带一些额外的代码来做许多事情,Firefox已经没有专有代码,比如绘制图像和文本”。
内置的PDF查看器目前正在测试源于一个叫做PDF.js Mozilla实验室项目。”PDF。js项目清楚地表明,HTML5和JavaScript现在强大到足以创建应用程序,可能以前只有被创建为本地应用程序,”Mozilla软件工程师说。“不仅大多数pdf文档加载和快速渲染,他们安全地运行,有一个在浏览器界面,感觉在家里。”
由于观众使用HTML5标准api(应用程序编程接口),它还可以运行在不同的浏览器和不同的平台,像平板电脑和手机。现场演示浏览器运行的Web应用程序可以在PDF。js的网站。
”PDF。js的观众在Firefoxβ是第一步,它成为一个完全集成的功能在Firefox的发布版本所以它的好处可以享有所有Firefox用户,”Mozilla软件工程师说。
Mozilla没有说明是否查看器将使用默认情况下即使在情况下第三方PDF查看安装插件。该公司没有立即回应记者的置评请求。
安全专家认为,内置的PDF查看器将为用户提供更安全,但不一定,因为它不会容易漏洞作为第三方PDF查看器插件。
这样的实现可能会向最终用户提供更安全,因为它的用户群将小比Adobe Reader和网络罪犯将继续专注于利用最流行的软件,Stefan没有试图推高日圆杀毒厂商卡巴斯基实验室,高级安全研究员通过电子邮件说。“虽然我很兴奋地看到Firefox提供额外的用户的安全,让我担心的是,即使是PDF格式的技术。js是建立可以脆弱。”
没有试图推高日圆指出漏洞在浏览器的JavaScript渲染引擎并不少见。作为一个例子,他指着cve - 2013 - 0750,远程代码执行漏洞固定在Firefox 18几天前。该漏洞源于一个错误在浏览器的方式计算一个JavaScript字符串连接的长度。
这个漏洞也不例外,而是规则,没有试图推高日圆说。每年“类似的发现,几乎在每一个产品版本,他们都可以被攻击者用来运行代码并安装软件,不需要用户交互超出正常浏览。”
这个PDF查看器组件可能比第三方插件更安全,如果它完全是用JavaScript编写/ HTML5,托马斯•Kristensen脆弱性情报供应商Secunia首席安全官,通过电子邮件说。
然而,这并不意味着它不是容易出现漏洞,他说。“如果新功能添加到浏览器或PDF阅读器否则成为特权在浏览器里,那么它可能是脆弱的,成为一个新的向量在浏览器中利用这些漏洞。”
“从技术角度来说我觉得这很有趣,他们创建一个PDF查看器,利用现有的浏览器功能,“Carsten Eiram研究总监安全咨询公司基于风险的安全,通过电子邮件说。“既然浏览器现在先进的HTML5和JavaScript支持,他们可以解析PDF文件,它可以有一个独立的PDF查看器毫无意义的对于大多数用户来说,只需要基本的PDF查看功能。”
一般来说,系统上的代码越少,越少暴露潜在的攻击,Eiram说。使用内置的PDF查看器组件代替安装一个单独的PDF阅读器应用程序通常包括许多用户并不真正需要的特性和可脆弱,降低了系统的整体攻击面,他说。
没有试图推高日圆也同意这一理论。”有一个明显的好处,使用相同的渲染引擎网页和pdf文档需要指出:代码库比较小,因此攻击表面和潜在的风险降低了,”他说。
Eiram相信它会下来如何坚实的JavaScript和HTML5浏览器中实现。“我希望这些实现的任何漏洞影响PDF查看器,”他说。
幸运的是,如果找到这样的漏洞,解决他们的工作落在了浏览器供应商。Mozilla和谷歌浏览器制造商,特别是,有一个很好的管理漏洞和历史的记录比第三方插件供应商更好的更新机制,没有试图推高日圆说。