Car-tech

FirefoxのPDFビューアは、ハッカーを退屈させてセキュリティを強化する可能性があります。

目次:

Anonim

JavaScriptとHTML5 Web技術に基づく組み込みのPDFビューアコンポーネントがベータ版に追加された

ブラウザメーカーは、Adobe ReaderやFoxit Readerがインストールしたプラグインのような、独自のPDF表示プラグインよりも安全で安全なものとして内蔵PDFビューアを説明しています。 MozillaのエンジニアリングマネージャBill Walker氏とMozilla Software Engineer Brendan Dahl氏は、「何年もの間、FirefoxでPDFを表示するためのプラグインがいくつかありました」と、いくつかのセキュリティ専門家は指摘しています。金曜日のブログ記事。 PDF閲覧プラグインには、画像やテキストの描画など、独自のコードなしで多くのことを行うための余分なコードが付属している」と述べている。

[その他の情報:Windows PCからマルウェアを削除する方法]

現在テスト中のビルトインPDFビューアは、PDF.jsというMozilla Labsプロジェクトに由来しています。 Mozillaのソフトウェアエンジニアは、「PDF.jsプロジェクトでは、以前はネイティブアプリケーションとしてしか作成できなかったアプリケーションを、HTML5とJavaScriptが強力に作成できるようになりました。 「ほとんどのPDFは、ロードとレンダリングが迅速に実行されるだけでなく、安全に実行され、ブラウザで快適に操作できるインターフェースを備えています」。

ビューアは標準のHTML5 API(アプリケーションプログラミングインターフェイス)を使用するため、タブレットや携帯電話など、さまざまなプラットフォームで使用できます。

「Firefoxベータ版のPDF.jsパワフルなビューアは、Firefoxのリリース版で完全に統合された機能になるための第一歩です。ウェブアプリケーションとして動作するビューアのライブデモは、PDF.jsのWebサイトから入手できます。 Mozillaのソフトウェアエンジニアは、MozillaはサードパーティのPDF閲覧プラグインがインストールされている場合でも、このビューアがデフォルトで使用されるかどうかを明確にしていませんでした。

ハッカーに招待されていない

セキュリティ専門家は、組み込みのPDFビューアがユーザーのセキュリティを向上させると信じていますが、必ずしもそうではないため、必ずしもそうではないでしょうサードパーティのPDFビューアプラグインのような脆弱性が存在します。

このような実装は、エンドユーザーがAdobe Readerに比べてユーザーベースが小さくなり、サイバー犯罪者が引き続き最も人気のあるアンチウイルスベンダーのカスペルスキー・ラボの上級セキュリティ研究者、ステファン・タナセ氏は、電子メールで次のように語った。 「Firefoxがユーザーのセキュリティをさらに重視していることに興奮しているが、PDF.jsのベースとなる技術でさえ脆弱になる可能性がある」とTanase氏は、ブラウザのJavaScriptの脆弱性レンダリングエンジンは珍しくありません。一例として、数日前にFirefox 18で修正されたリモートコード実行脆弱性であるCVE-2013-0750を指摘しました。この脆弱性は、ブラウザがJavaScript文字列連結の長さを計算する方法のバグに起因する。

この脆弱性は例外ではなく、むしろルールである、とTanaseは述べている。 「同様のものは毎年、ほとんどすべての製品バージョンで発見されており、攻撃者はコードを実行してソフトウェアをインストールすることができ、通常のブラウジングを超えたユーザーのやりとりは必要ありません。」このPDFビューアコンポーネントは、 -partyプラグインがJavaScript / HTML5で完全に記述されている場合、脆弱性情報ベンダーのSecuniaの最高セキュリティ責任者、Thomas Kristensenは電子メールで述べています。

セキュリティ上の問題が残っている。しかし、これは脆弱性が起こりにくいというわけではないという。 "新しい機能がブラウザに追加されていたり、そうでない場合はブラウザで特権が与えられると、ブラウザの脆弱性を悪用してこれらの脆弱性を悪用する新たな手段になる可能性があります。"

"技術的な観点からセキュリティのコンサルタント会社であるリスク・ベース・セキュリティのチーフ・リサーチ・オフィサーであるCarsten Eiram氏は、電子メールを使って、ブラウザの既存の機能を利用するPDFビューアを作成していることは非常に興味深い。 "ブラウザはHTML5とJavaScriptのサポートで高度化しているので、実際にPDFファイルを解析できるので、基本的なPDF表示機能が必要なほとんどのユーザーにとって、別個のPDFビューワを無意味にすることができます。

一般に、システム上にコードが存在する場合、潜在的な攻撃にさらされる可能性は低いとEiram氏は述べています。多くのユーザーが本当に必要としない、脆弱な機能を含むPDFリーダーアプリケーションを別途インストールするのではなく、組み込みのPDFビューアコンポーネントを使用することで、システム全体の攻撃面が減少する、と彼は言います。この理論と一緒に。 「WebページとPDFの両方に同じレンダリングエンジンを使用すると、コードベースが小さくなるため、攻撃面と潜在的なリスクが低下するという明らかな利点があります」と彼は述べています。 JavaScriptとHTML5の実装がブラウザにどのようにしっかりしているかが分かります。 「これらの実装の脆弱性がPDFビューアにも影響を及ぼすと私は期待しています」と彼は言いました。幸い、このような脆弱性が発見された場合、それらを修正する仕事はブラウザのベンダーに委ねられます。 Tanase氏によると、ブラウザメーカー、特にMozillaとGoogleは、脆弱性を管理する上で非常に優れた実績を持ち、歴史的にはサードパーティのプラグインベンダーよりも優れた更新メカニズムを持っていた[

]