फ़ायरफ़ॉक्स का पीडीएफ दर्शक हैकर्स उबाऊ करके सुरक्षा को बढ़ावा दे सकता है

जावास्क्रिप्ट और एचटीएमएल 5 वेब प्रौद्योगिकियों के आधार पर एक अंतर्निहित पीडीएफ व्यूअर घटक बीटा संस्करण में जोड़ा गया है फ़ायरफ़ॉक्स 1 9, मोज़िला ने शुक्रवार को कहा।

ब्राउज़र निर्माता ने अंतर्निहित पीडीएफ व्यूअर को एडोब रीडर या फॉक्सिट रीडर द्वारा स्थापित स्वामित्व वाले पीडीएफ देखने वाले प्लग-इन की तुलना में अधिक सुरक्षित और सुरक्षित बताया। हालांकि, कई सुरक्षा विशेषज्ञों ने नोट किया कि यह शायद कमजोरियों से मुक्त नहीं होगा।

"फ़ायरफ़ॉक्स के भीतर पीडीएफ देखने के लिए कई सालों से कई प्लगइन हैं," मोज़िला इंजीनियरिंग मैनेजर बिल वॉकर और मोज़िला सॉफ्टवेयर इंजीनियर ब्रेंडन डाहल ने कहा शुक्रवार को एक ब्लॉग पोस्ट में। "इनमें से कई प्लगइन्स स्वामित्व वाले बंद स्रोत कोड के साथ आते हैं जो संभावित रूप से उपयोगकर्ताओं को सुरक्षा कमजोरियों के सामने उजागर कर सकते हैं। पीडीएफ देखने वाले प्लगइन भी कई चीजों को करने के लिए अतिरिक्त कोड के साथ आते हैं जो फ़ायरफ़ॉक्स पहले से ही कोई स्वामित्व कोड नहीं है, जैसे छवियों और पाठ को चित्रित करना।"

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

वर्तमान में परीक्षण किया गया अंतर्निहित पीडीएफ व्यूअर पीडीएफ.जे.एस. नामक मोज़िला लैब्स प्रोजेक्ट से उत्पन्न होता है। "पीडीएफ.जेएस प्रोजेक्ट स्पष्ट रूप से दिखाता है कि एचटीएमएल 5 और जावास्क्रिप्ट अब उन अनुप्रयोगों को बनाने के लिए पर्याप्त शक्तिशाली हैं जो पहले मूल अनुप्रयोगों के रूप में बनाए गए थे," मोज़िला सॉफ्टवेयर इंजीनियरों ने कहा। "न केवल अधिकांश पीडीएफ लोड करते हैं और जल्दी से प्रस्तुत करते हैं, वे सुरक्षित रूप से चलते हैं और ब्राउज़र में घर पर एक इंटरफ़ेस महसूस करते हैं।"

चूंकि दर्शक मानक HTML5 एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफेस) का उपयोग करता है, यह विभिन्न ब्राउज़रों में भी चला सकता है और विभिन्न प्लेटफॉर्म पर, टैबलेट और मोबाइल फोन की तरह। वेब एप्लिकेशन के रूप में चलने वाले दर्शक का लाइव डेमो पीडीएफ.जेएस वेबसाइट पर उपलब्ध है।

"फ़ायरफ़ॉक्स बीटा में पीडीएफ.जेएस संचालित दर्शक फ़ायरफ़ॉक्स के रिलीज़ संस्करण के भीतर पूरी तरह से एकीकृत फीचर बनने का पहला कदम है इसलिए मोज़िला सॉफ्टवेयर इंजीनियरों ने कहा कि इसका लाभ सभी फ़ायरफ़ॉक्स उपयोगकर्ताओं द्वारा लिया जा सकता है।

मोज़िला ने यह स्पष्ट नहीं किया कि क्या इस दर्शक का डिफ़ॉल्ट रूप से उपयोग किया जाएगा, भले ही किसी तृतीय-पक्ष पीडीएफ देखने प्लग-इन स्थापित हो। कंपनी ने तुरंत टिप्पणी के अनुरोध का जवाब नहीं दिया।

हैकर्स को कम आमंत्रित करना

सुरक्षा विशेषज्ञों का मानना ​​है कि अंतर्निहित पीडीएफ दर्शक उपयोगकर्ताओं के लिए अधिक सुरक्षा प्रदान करेगा, लेकिन जरूरी नहीं है क्योंकि यह प्रवण नहीं होगा तीसरे पक्ष के पीडीएफ व्यूअर प्लग-इन के रूप में भेद्यताएं हैं।

ऐसा कार्यान्वयन अंतिम उपयोगकर्ता को अधिक सुरक्षा प्रदान कर सकता है क्योंकि इसका उपयोगकर्ता आधार एडोब रीडर की तुलना में छोटा होगा और साइबर अपराधियों को सबसे लोकप्रिय शोषण पर ध्यान देना जारी रहेगा सॉफ़्टवेयर के टुकड़े, एंटीवायरस विक्रेता कैस्पर्सकी लैब में एक वरिष्ठ सुरक्षा शोधकर्ता स्टीफन तनसे ने ईमेल के माध्यम से कहा। "हालांकि, मैं फ़ायरफ़ॉक्स को अपने उपयोगकर्ताओं की सुरक्षा के बारे में अतिरिक्त विचार देने के लिए उत्साहित हूं, लेकिन मुझे चिंता है कि पीडीएफ.जेएस आधारित प्रौद्योगिकियां भी कमजोर हो सकती हैं।"

तनसे ने बताया कि ब्राउजर की जावास्क्रिप्ट में कमजोरियां प्रतिपादन इंजन असामान्य नहीं हैं। उदाहरण के तौर पर, उन्होंने कुछ दिनों पहले फ़ायरफ़ॉक्स 18 में एक रिमोट कोड निष्पादन भेद्यता तय की गई सीवीई -20175050 की ओर इशारा किया। कमजोरता एक बग से उत्पन्न होती है जिस तरह ब्राउजर जावास्क्रिप्ट स्ट्रिंग कॉन्सटेनेशन के लिए लंबाई की गणना करता है।

यह भेद्यता अपवाद नहीं है, बल्कि नियम है, तनसे ने कहा। "हर साल इसी तरह की खोज की जाती है, ज्यादातर उत्पाद संस्करण में और इन सभी का इस्तेमाल हमलावरों द्वारा कोड चलाने और सॉफ्टवेयर स्थापित करने के लिए किया जा सकता है, जिसके लिए सामान्य ब्राउज़िंग से परे कोई उपयोगकर्ता इंटरैक्शन की आवश्यकता नहीं होती है।"

यह पीडीएफ दर्शक घटक तीसरे से अधिक सुरक्षित हो सकता है -पार्टी प्लग-इन अगर यह पूरी तरह से जावास्क्रिप्ट / एचटीएमएल 5 में लिखा गया है, तो भेद्यता खुफिया विक्रेता सिकुनिया के मुख्य सुरक्षा अधिकारी थॉमस क्रिस्टेनसेन ने ईमेल के माध्यम से कहा।

सुरक्षा मुद्दे बने रहे हैं

हालांकि, इसका मतलब यह नहीं है कि यह कमजोरियों से ग्रस्त नहीं है। "यदि ब्राउज़र में नई कार्यक्षमता जोड़ा गया है या पीडीएफ रीडर ब्राउज़र में विशेषाधिकार प्राप्त हो जाता है, तो यह कमजोर हो सकता है और ब्राउज़र में इन भेद्यताओं का फायदा उठाने के लिए एक नया वेक्टर बन सकता है।"

"तकनीकी दृष्टिकोण से मुझे लगता है यह बहुत दिलचस्प है कि वे एक पीडीएफ दर्शक बना रहे हैं जो ब्राउज़र की मौजूदा क्षमताओं का उपयोग करता है, "सुरक्षा सलाहकार फर्म जोखिम आधारित सुरक्षा के मुख्य शोध अधिकारी कार्स्टन ईराम ने ईमेल के माध्यम से कहा। "चूंकि ब्राउज़र अब एचटीएमएल 5 और जावास्क्रिप्ट समर्थन के साथ इतने उन्नत हैं कि वे वास्तव में पीडीएफ फाइलों का विश्लेषण कर सकते हैं, यह ज्यादातर उपयोगकर्ताओं के लिए अलग पीडीएफ व्यूअर व्यर्थ हो सकता है, जिन्हें केवल मूल पीडीएफ देखने की क्षमताओं की आवश्यकता होती है।"

सामान्य रूप से, कम ईरम ने कहा कि कोड पर एक प्रणाली है, कम जोखिम यह संभावित हमलों के लिए है। उन्होंने कहा कि एक अलग पीडीएफ रीडर एप्लिकेशन स्थापित करने के बजाय इस अंतर्निहित पीडीएफ व्यूअर घटक का उपयोग करना जिसमें अक्सर कई उपयोगकर्ताओं को वास्तव में आवश्यकता नहीं होती है और जो कमजोर हो सकती है, सिस्टम की समग्र हमले की सतह को कम कर देती है।

तनसे भी सहमत हैं इस सिद्धांत के साथ। उन्होंने कहा, "वेब पृष्ठों और पीडीएफ दोनों के लिए एक ही प्रतिपादन इंजन का उपयोग करने के लिए एक स्पष्ट लाभ है जिसे इंगित करने की आवश्यकता है: कोड आधार छोटा है, इसलिए हमले की सतह और संभावित जोखिम कम हो गया है।" 99

ईरम का मानना ​​है कि ब्राउजर में जावास्क्रिप्ट और एचटीएमएल 5 कार्यान्वयन कितने ठोस हैं, यह नीचे आ जाएगा। उन्होंने कहा, "मैं इन कार्यान्वयन में पीडीएफ व्यूअर को प्रभावित करने के लिए किसी भी कमजोरियों की अपेक्षा करता हूं।"

सौभाग्य से, अगर ऐसी भेद्यताएं मिलती हैं, तो उन्हें ठीक करने का काम ब्राउज़र विक्रेता को पड़ता है। तनसे ने कहा कि ब्राउज़र निर्माताओं, विशेष रूप से मोज़िला और Google के पास भेद्यता प्रबंधन का एक बहुत अच्छा ट्रैक रिकॉर्ड है और ऐतिहासिक रूप से तीसरे पक्ष के प्लग-इन विक्रेताओं की तुलना में बेहतर अद्यतन तंत्र है।