El visor de PDF de Firefox puede aumentar la seguridad al aburrir a los hackers

Se agregó un componente de visor de PDF incorporado basado en tecnologías Web JavaScript y HTML5 a la versión beta de Firefox 19, Mozilla dijo el viernes.

El fabricante del navegador describió el visor de PDF incorporado como más seguro y seguro que los plug-ins de visualización de PDF patentados, como los instalados por Adobe Reader o Foxit Reader. Sin embargo, varios expertos en seguridad señalaron que probablemente no estará libre de vulnerabilidades.

"Durante varios años ha habido varios complementos para ver archivos PDF en Firefox", dijo el gerente de ingeniería de Mozilla, Bill Walker, y el ingeniero de software de Mozilla, Brendan Dahl. Viernes en una publicación de blog. "Muchos de estos complementos vienen con un código fuente cerrado que potencialmente podría exponer a los usuarios a vulnerabilidades de seguridad. Los complementos de visualización de PDF también vienen con código adicional para hacer muchas cosas que Firefox ya hace bien sin código propietario, como dibujar imágenes y texto".

[Más información: cómo eliminar el malware de su PC con Windows]

El visor de PDF incorporado que se está probando proviene de un proyecto de Mozilla Labs llamado PDF.js. "El proyecto PDF.js muestra claramente que HTML5 y JavaScript ahora son lo suficientemente potentes como para crear aplicaciones que anteriormente solo podían haber sido creadas como aplicaciones nativas", dijeron los ingenieros de software de Mozilla. "La mayoría de los PDF no sólo se cargan y renderizan rápidamente, sino que se ejecutan de forma segura y tienen una interfaz que se siente como en casa en el navegador".

Como el espectador usa API HTML5 estándar (interfaces de programación de aplicaciones), también puede ejecutarse en diferentes navegadores y en diferentes plataformas, como tabletas y teléfonos móviles. En el sitio web de PDF.js está disponible una demostración en vivo del espectador que se ejecuta como aplicación web.

"El visor con PDF.js en Firefox Beta es el primer paso para convertirse en una función totalmente integrada dentro de la versión de lanzamiento de Firefox así que sus beneficios pueden ser disfrutados por todos los usuarios de Firefox ", dijeron los ingenieros de software de Mozilla.

Mozilla no aclaró si este visor se usará de forma predeterminada incluso en casos en que se instale un complemento de visualización de PDF de terceros. La compañía no respondió de inmediato a una solicitud de comentarios.

Menos invitaciones a piratas informáticos

Los expertos en seguridad creen que el visor de PDF incorporado proporcionará más seguridad para los usuarios, pero no necesariamente porque no será propenso a vulnerabilidades como los complementos de visor de PDF de terceros.

Tal implementación podría proporcionar más seguridad al usuario final porque su base de usuarios será menor en comparación con la de Adobe Reader y los ciberdelincuentes seguirán centrándose en la explotación de los más populares piezas de software, Stefan Tanase, un investigador de seguridad senior en el proveedor de antivirus Kaspersky Lab, dijo por correo electrónico. "Aunque estoy emocionado de ver a Firefox pensando en la seguridad de sus usuarios, lo que me preocupa es que incluso las tecnologías en las que se basa PDF.js pueden ser vulnerables". Tan99 señaló que las vulnerabilidades en el JavaScript del navegador motor de renderizado no son infrecuentes. Como ejemplo, apuntó a CVE-2013-0750, una vulnerabilidad de ejecución de código remota arreglada en Firefox 18 hace unos días. La vulnerabilidad se debe a un error en la forma en que el navegador calcula la longitud de una concatenación de cadenas de JavaScript.

Esta vulnerabilidad no es la excepción, sino la regla, dijo Tanase. "Se descubren otros similares cada año, en su mayoría todas las versiones de productos, y pueden ser utilizados por atacantes para ejecutar código e instalar software, sin interacción del usuario más allá de la navegación normal".

Este componente de visor de PDF podría ser más seguro que el tercero complementos de partes, si está escrito completamente en JavaScript / HTML5, Thomas Kristensen, director de seguridad del vendedor de inteligencia de vulnerabilidad Secunia, dijo por correo electrónico.

Los problemas de seguridad permanecen

Sin embargo, esto no significa que no sea propenso a las vulnerabilidades, dijo. "Si se ha agregado una nueva funcionalidad al navegador o si el lector de PDF tiene privilegios en el navegador, entonces puede ser vulnerable y convertirse en un nuevo vector para explotar estas vulnerabilidades en el navegador."

"Desde un punto de vista técnico, es muy interesante que estén creando un visor de PDF que utilice las capacidades existentes del navegador ", dijo por correo electrónico Carsten Eiram, director de investigaciones de la firma de consultoría de seguridad Risk Based Security. "Como los navegadores ahora son tan avanzados con HTML5 y JavaScript admiten que pueden analizar archivos PDF, podría hacer que tener un visor de PDF diferente no tenga sentido para la mayoría de los usuarios, que solo necesitan capacidades básicas de visualización de PDF."

En general, menos Cuando hay un código en un sistema, menos expuesto está a posibles ataques, dijo Eiram. El uso de este componente integrado de visor de PDF en lugar de instalar una aplicación de lector de PDF separada que a menudo incluye características que muchos usuarios realmente no necesitan y que pueden ser vulnerables, reduce la superficie de ataque general del sistema, dijo.

Tanase también está de acuerdo. con esta teoría "Hay un beneficio claro para usar el mismo motor de renderizado tanto para las páginas web como para los archivos PDF: la base de códigos es más pequeña, por lo tanto, la superficie de ataque y el riesgo potencial se reducen", dijo.

Eiram cree que se reducirá a la solidez de las implementaciones de JavaScript y HTML5 en el navegador. "Esperaría que cualquier vulnerabilidad en estas implementaciones afectara también al visor de PDF", dijo.

Afortunadamente, si se encuentran tales vulnerabilidades, el trabajo de arreglarlas recae en el proveedor del navegador. Los fabricantes de navegadores, especialmente Mozilla y Google, tienen un muy buen historial de gestión de vulnerabilidades e históricamente han tenido mejores mecanismos de actualización que los proveedores de plug-ins de terceros, dijo Tanase.