Il visualizzatore PDF di Firefox può aumentare la sicurezza degli hacker noiosi

Un componente del visualizzatore PDF integrato basato su tecnologie Web JavaScript e HTML5 è stato aggiunto alla versione beta di Firefox 19, Mozilla ha detto Venerdì.

Il creatore del browser ha descritto il visualizzatore PDF integrato come più sicuro e più sicuro dei plug-in di visualizzazione PDF proprietari, come quelli installati da Adobe Reader o Foxit Reader. Tuttavia, diversi esperti di sicurezza hanno notato che probabilmente non saranno privi di vulnerabilità.

"Per diversi anni ci sono stati diversi plug-in per la visualizzazione di PDF all'interno di Firefox," ha dichiarato Bill Walker e Mozilla Software Engineer di Mozilla Engineering Engineer Brendan Dahl. Venerdì in un post sul blog. "Molti di questi plug-in sono dotati di codice proprietario closed source potenzialmente in grado di esporre gli utenti a vulnerabilità della sicurezza.I plug-in di visualizzazione PDF includono anche codice aggiuntivo per eseguire molte operazioni che Firefox già funziona bene senza codice proprietario, come il disegno di immagini e testo."

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il visualizzatore PDF integrato attualmente in fase di test nasce da un progetto Mozilla Labs chiamato PDF.js. "Il progetto PDF.js mostra chiaramente che HTML5 e JavaScript sono ora abbastanza potenti da creare applicazioni che in precedenza potevano essere solo create come applicazioni native", hanno detto i tecnici del software Mozilla. "Non solo la maggior parte dei PDF carica e esegue il rendering in modo rapido, ma funziona in modo sicuro e ha un'interfaccia che si sente a casa nel browser."

Poiché il visualizzatore utilizza le API HTML5 standard (interfacce di programmazione delle applicazioni) può anche funzionare in browser diversi e su diverse piattaforme, come tablet e telefoni cellulari. Una demo live del visualizzatore in esecuzione come applicazione Web è disponibile sul sito Web PDF.js.

"Il visualizzatore potenziato di PDF.js in Firefox Beta è il primo passo per diventare una funzionalità completamente integrata nella versione di rilascio di Firefox quindi i suoi benefici possono essere apprezzati da tutti gli utenti di Firefox ", hanno detto gli ingegneri del software Mozilla.

Mozilla non ha chiarito se questo visualizzatore verrà utilizzato di default anche nei casi in cui è installato un plug-in di visualizzazione PDF di terze parti. La società non ha risposto immediatamente a una richiesta di commento.

Meno inviti agli hacker

Gli esperti di sicurezza ritengono che il visualizzatore PDF integrato fornirà maggiore sicurezza agli utenti, ma non necessariamente perché non sarà soggetto a vulnerabilità come plug-in del visualizzatore PDF di terze parti.

Tale implementazione potrebbe fornire maggiore sicurezza all'utente finale perché la sua base di utenti sarà più piccola rispetto a quella di Adobe Reader ei criminali informatici continueranno a concentrarsi sullo sfruttamento dei più popolari pezzi di software, Stefan Tanase, un ricercatore senior di sicurezza presso il fornitore di antivirus Kaspersky Lab, ha dichiarato via email. "Anche se sono entusiasta di vedere Firefox dare ulteriore pensiero alla sicurezza dei suoi utenti, ciò che mi preoccupa è che anche le tecnologie su cui è basato PDF.js possono essere vulnerabili."

Tanase ha sottolineato che le vulnerabilità nel JavaScript del browser motore di rendering non è raro. Ad esempio, ha indicato CVE-2013-0750, una vulnerabilità legata all'esecuzione di codice in modalità remota risolta in Firefox 18 alcuni giorni fa. La vulnerabilità deriva da un bug nel modo in cui il browser calcola la lunghezza per una concatenazione di stringhe JavaScript.

Questa vulnerabilità non è l'eccezione, ma piuttosto la regola, ha detto Tanase. "Quelli simili sono scoperti ogni anno, in gran parte ogni versione del prodotto e possono essere utilizzati dagli aggressori per eseguire codice e installare software, senza richiedere l'intervento dell'utente oltre la normale navigazione."

Questo componente del visualizzatore PDF potrebbe essere più sicuro del terzo -party plug-in se è scritto interamente in JavaScript / HTML5, Thomas Kristensen, il principale responsabile della sicurezza presso Secunia, fornitore di informazioni sulle vulnerabilità, ha dichiarato via email.

I problemi di sicurezza rimangono

Tuttavia, questo non significa che non sia soggetto a vulnerabilità, ha affermato. "Se nuove funzionalità sono state aggiunte al browser o il lettore PDF diventa altrimenti privilegiato nel browser, allora potrebbe essere vulnerabile e diventare un nuovo vettore per sfruttare queste vulnerabilità nel browser."

"Dal punto di vista tecnico trovo È molto interessante che stiano creando un visualizzatore di PDF che utilizza le funzionalità esistenti del browser ", ha detto via email Carsten Eiram, responsabile della ricerca presso la società di consulenza sulla sicurezza Risk Based Security. "Dal momento che i browser sono così avanzati con supporto HTML5 e JavaScript che possono effettivamente analizzare i file PDF, potrebbe rendere inutile avere un visualizzatore PDF separato per la maggior parte degli utenti, che hanno solo bisogno di funzionalità di visualizzazione PDF di base."

In generale, meno il codice esiste su un sistema, meno è esposto ai potenziali attacchi, ha detto Eiram. Utilizzando questo componente del visualizzatore PDF integrato invece di installare un'applicazione di lettura PDF separata che spesso include funzionalità che molti utenti non hanno realmente bisogno e che possono essere vulnerabili, riduce la superficie di attacco complessiva del sistema, ha detto.

Tanase è d'accordo con questa teoria. "C'è un chiaro vantaggio nell'usare lo stesso motore di rendering per entrambe le pagine Web e PDF che deve essere sottolineato: la base di codice è più piccola, quindi la superficie di attacco e il rischio potenziale si riducono", ha detto.

Eiram ritiene che si scoprirà quanto siano solide le implementazioni di JavaScript e HTML5 nel browser. "Mi aspetto che eventuali vulnerabilità in queste implementazioni influenzino anche il visualizzatore di PDF", ha affermato.

Fortunatamente, se vengono rilevate tali vulnerabilità, il compito di risolverle ricade sul fornitore del browser. I produttori di browser, in particolare Mozilla e Google, hanno un'ottima esperienza nella gestione delle vulnerabilità e storicamente hanno avuto migliori meccanismi di aggiornamento rispetto ai fornitori di plug-in di terze parti, ha detto Tanase.