عارض PDF في فايرفوكس قد يعزز الأمان من قبل المتسللين المملون

تمت إضافة مكون عارض PDF مضمن استنادًا إلى تقنيات الويب JavaScript و HTML5 إلى الإصدار التجريبي من فَيَرفُكس 19 ، قال موزيلا يوم الجمعة.

وصف صانع المتصفح عارض PDF المدمج بأنه أكثر أمانًا وأكثر أمانًا من المكوّنات الإضافية لملفات PDF الشخصية ، مثل تلك البرامج المثبتة بواسطة Adobe Reader أو Foxit Reader. ومع ذلك ، أشار العديد من خبراء الأمن إلى أنه من المحتمل ألا يكون خالياً من نقاط الضعف.

"منذ عدة سنوات كانت هناك العديد من المكونات الإضافية لعرض ملفات PDF داخل Firefox" ، كما قال مدير هندسة موزيلا بيل ووكر ومهندس البرمجيات برزيلا بريندان داهل الجمعة في مشاركة مدونة. "العديد من هذه المكونات الإضافية تأتي مع كود مصدر مغلق خاص يمكن أن يعرض المستخدمين إلى نقاط ضعف أمنية. كما أن الملحقات الإضافية لعرض PDF تأتي مع كود إضافي للقيام بالعديد من الأشياء التي يقوم بها فايرفوكس بالفعل دون أي كود خاص ، مثل رسم الصور والنص".

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows]

يظهر عارض PDF المضمَّن الجاري اختباره حاليًا من أحد مختبرات Mozilla التي تُعرف باسم PDF.js. "يوضح مشروع PDF.js بوضوح أن HTML5 وجافا سكريبت هي الآن قوية بما يكفي لإنشاء التطبيقات التي سبق أن تم إنشاؤها فقط كتطبيقات محلية ،" قال مهندسو برامج Mozilla. "لا يقتصر الأمر على تحميل معظم ملفات PDF وعرضها بسرعة ، بل يتم تشغيلها بشكل آمن ولها واجهة تظهر في المنزل في المتصفح."

نظرًا لأن العارض يستخدم واجهة برمجة تطبيقات HTML5 القياسية (واجهات برمجة التطبيقات) ، يمكن أيضًا تشغيلها في متصفحات مختلفة على منصات مختلفة ، مثل الأجهزة اللوحية والهواتف المحمولة. يتوفر عرض حي للمشاهد يعمل كإحدى تطبيقات الويب على موقع PDF.js.

"يعد عارض PDF.js الذي يعمل في Firefox Beta الخطوة الأولى في أن يصبح سمة متكاملة تمامًا داخل إصدار إصدار Firefox لذلك ، يمكن أن يستفيد جميع مستخدمي Firefox من فوائده ، "قال مهندسو برامج Mozilla.

لم توضّح Mozilla ما إذا كان سيتم استخدام هذا العارض افتراضيًا حتى في الحالات التي يكون فيها المكون الإضافي لعرض PDF من جهة خارجية مثبتًا. لم تستجب الشركة على الفور لطلب التعليق.

أقل دعوة للمتسللين

يعتقد خبراء الأمن أن عارض PDF المدمج سيوفر مزيدًا من الأمان للمستخدمين ، ولكن ليس بالضرورة لأنه لن يكون عرضة نقاط الضعف مثل المكونات الإضافية لمشاهد PDF.

قد يوفر هذا التنفيذ مزيدًا من الأمان للمستخدم النهائي نظرًا لأن قاعدة مستخدميه ستكون أصغر مقارنةً بقاعدة مستخدمي Adobe Reader وسيستمر مجرمو الإنترنت في التركيز على استغلال وقال ستيفان تاناسي ، وهو باحث أمن كبير في شركة مكافحة الفيروسات في شركة "كاسبرسكي لاب" ، عبر البريد الإلكتروني. "بينما أنا متحمس لرؤية فَيَرفُكس يعطي فكرًا إضافيًا لأمن مستخدميه ، فإن ما يقلقني هو أنه حتى التقنيات التي يستند إليها PDF.js يمكن أن تكون عرضة للخطر."

أشار Tanase إلى وجود ثغرات في جافا سكريبت في المتصفح. محرك التقديم ليست غير شائعة. على سبيل المثال ، أشار إلى CVE-2013-0750 ، وهي ثغرة في تنفيذ التعليمات البرمجية عن بُعد تم إصلاحها في Firefox 18 قبل بضعة أيام. تنبع الثغرة من خطأ في الطريقة التي يحسب بها المتصفح طول سلسلة سلسلة جافا سكريبت.

هذه الثغرة ليست الاستثناء ، وإنما القاعدة ، كما تقول Tanase. "يتم اكتشافها بشكل مشابه كل عام ، وفي الغالب في كل إصدار منتج ويمكن استخدامها جميعًا من قِبل المهاجمين لتشغيل التعليمات البرمجية وتثبيت البرامج ، ولا تتطلب أي تفاعل من جانب المستخدم يتجاوز التصفح العادي."

يمكن أن يكون عنصر عارض PDF هذا أكثر أمانًا من الإصدار الثالث إذا كان مكتوبًا بالكامل في جافا سكريبت / HTML5 ، فإن توماس كريستنسن ، كبير موظفي الأمن في شركة Secunia ، عبر البريد الإلكتروني.

وقال ان القضايا الامنية لا تزال

ومع ذلك ، هذا لا يعني أنه ليس عرضة لنقاط الضعف. "إذا تمت إضافة وظائف جديدة إلى المستعرض أو أصبح قارئ PDF مميزًا في المتصفح ، فقد يكون ضعيفًا ويصبح متجهًا جديدًا لاستغلال هذه الثغرات في المتصفح."

"من وجهة نظر فنية أجد وقال كارستن إييرام ، كبير مسؤولي الأبحاث في شركة "بيزنيس فورس سيكيوريتي" للأمن ، عبر البريد الإلكتروني: "من المثير للاهتمام للغاية أن يقوموا بإنشاء عارض PDF يستخدم القدرات الموجودة للمتصفح". "نظرًا لأن المتصفحات أصبحت الآن متقدمة جدًا بدعم HTML5 وجافا سكريبت بحيث يمكنها في الواقع تحليل ملفات PDF ، يمكن أن يجعل وجود عارض PDF منفصل بلا جدوى لمعظم المستخدمين ، الذين يحتاجون فقط إلى قدرات عرض PDF الأساسية."

بشكل عام ، كلما قلت قال إيرام: "هناك رمز على نظام ، أقل عرضة للهجمات المحتملة". باستخدام مكون عارض PDF المدمج هذا بدلاً من تثبيت تطبيق قارئ PDF منفصل والذي غالباً ما يتضمن ميزات لا يحتاجها العديد من المستخدمين والتي يمكن أن تكون ضعيفة ، ويقلل من سطح الهجوم الكلي للنظام ، كما قال. مع هذه النظرية. وقال: "هناك فائدة واضحة لاستخدام محرك التقديم نفسه لكل من صفحات الويب وملفات PDF التي يجب الإشارة إليها: قاعدة الكود أصغر ، وبالتالي يتم تقليل سطح الهجوم والمخاطر المحتملة."

يعتقد إيارام أن وسوف ينخفض ​​إلى مدى صلابة تطبيقات جافا سكريبت و HTML5 في المتصفح. وقال: "أتوقع أن تؤثر أي من نقاط الضعف في هذه التطبيقات على عارض PDF أيضًا. يقول Tanase إن صانعي المستعرض ، وخاصة Mozilla و Google ، يتمتعون بسجل حافل للغاية في إدارة نقاط الضعف ، وكان لديهم تاريخياً آليات تحديث أفضل من موردي المكونات الإضافية من الجهات الخارجية.