Nový Firefox má vestavěnou bezpečnou čtečku PDF

Podle Mozilly je nová čtečka bezpečnější, než doposud využívané plug-iny určené pro zobrazování souborů PDF. Bezpečnostní experti však poukazují na to, že ani tak betaverze Firefoxu 19 nebude bez chyb. „Řadu let si uživatelé mohli vybrat z celé řady modulů určených pro čtení PDF,“ uvedl Bill Walker z Mozilly na oficiálním blogu. „Většina z těchto pluginů však vystavovala uživatele nebezpečí.“ Současná verze čtečky PDF, kterou Mozilla testuje, vznikla v rámci projektu zvaném PDF.js. „Projekt PDF.js jasně ukazuje, že HTML5 a JavaScript jsou již natolik vyspělé, že umožňují vytvářet aplikace, jež v minulosti musely být vyvíjeny pouze jako nativní aplikace,“ uvedli specialisté Mozilly. „Nejen, že se většina souborů PDF načítá rychleji, celý systém je také bezpečnější a má příjemné uživatelské rozhraní uvnitř prohlížeče.“

Jelikož čtečka využívá standardní API HTML5, poběží i v jiných prohlížečích a na různých platformách, jako jsou tablety nebo mobilní telefony. Na demoverzi čtečky se můžete podívat na webu PDF.js. „Nová čtečka zakomponovaná do betaverze Firefoxu 19 je prvním krokem k tomu, aby se tato funkce mohla objevit i ve stabilní verzi Firefoxu, takže ji budou moci využívat všichni uživatelé,“ stojí dále na blogu Mozilly. Specialisté však neuvedli, zda vlastní čtečka Mozilly bude v prohlížeči preferována i tehdy, pokud bude uživatel mít nainstalován modul od třetí strany. Podle bezpečnostních expertů nabídne zabudovaná čtečka PDF uživatelům bezpečnější prostředí, na druhou stranu bude bohužel minimálně na začátku plná chyb, které se útočníci budou snažit zneužít.

„I když mě těší, že vývojáři Firefoxu myslí na bezpečnost svých uživatelů, i technologie jako PDF.js mohou být zneužitelné,“ uvedl Stefan Tanase ze společnosti Kaspersky Lab s tím, že chyby ve vykreslovacím enginu JavaScriptu jsou dobře známé. Tanase narážel na nedávno zveřejněnou zranitelnost pod názvem CVE-2013-0750, která ve Firefoxu umožňovala na dálku spustit nebezpečný kód. Tato slabina byla objevena přímo v JavaScriptu a podle specialisty z Kaspersky Lab není výjimkou, ale spíše pravidlem. „Podobné chyby se objevují každý rok a útočníci je pak využívají u všech produktů, u nichž to lze.“

Thomas Kristensen ze společnosti Secunia k tomu dále uvedl, že komponenta čtečky PDF by mohla být bezpečnější, než plug-iny od třetích stran, avšak pouze za předpokladu, že by byla zcela napsána v JavaScriptu/HTML5. I tak ale nebude zcela odolná vůči bezpečnostním chybám. „Jakmile je do prohlížeče přidána nová komponenta, ihned se stane středem zájmu útočníků, kteří ji budou zkoumat. Z technického hlediska je podle mého názoru zajímavé, že v Mozille vytvářejí čtečku PDF, která využívá již existující schopnosti prohlížeče, otázkou však je, jak to s ní bude v praxi,“ řekl Carsten Eiram ze společnosti Risk Based Scurity, podle kterého platí, že „čím méně kódu daný systém využívá, tím je těžší jej zneužít.“ Závěrem lze tedy říci, že i když bezpečnostní experti věří, že zabudovaná čtečka PDF jednou poskytne uživatelům více bezpečnosti, ještě nějakou dobu to potrvá.