Firefox의 PDF 뷰어는 해커를 지루해 보안을 강화할 수 있습니다.

JavaScript 및 HTML5 웹 기술을 기반으로하는 내장 된 PDF 뷰어 구성 요소가 베타 버전에 추가되었습니다. 모질라는 19 일 (미국 시간) 파이어 폭스 19의 모질라 (Mozilla)가 9 일 (미국 시간) 말했다.

브라우저 제작자는 빌트인 PDF 뷰어가 Adobe Reader 나 Foxit Reader와 같은 독점적 인 PDF보기 플러그인보다 안전하고 안전하다고 설명했다. 모질라의 빌 워커 (Bill Walker) 모질라 엔지니어링 매니저와 브렌든 달 (Brendan Dahl) 소프트웨어 엔지니어는 "몇 년 전부터 파이어 폭스 내에서 PDF를 볼 수있는 플러그인이 여러 해 동안 있었다"며 " 블로그 포스트에서 금요일. 파이어 폭스 수석 부사장은 "이 플러그인에는 사용자를 보안 취약성에 노출시킬 수있는 독점 폐쇄 소스 코드가 포함되어 있으며, PDF보기 플러그인에는 이미지 및 텍스트 그리기와 같은 독점적 인 코드없이 Firefox가 이미 잘 수행 한 많은 작업을 수행 할 수있는 추가 코드가 제공됩니다."

[추가 정보: Windows PC에서 악성 코드 제거 방법]

현재 테스트중인 빌트인 PDF 뷰어는 PDF.js.라는 Mozilla Labs 프로젝트에서 유래합니다. "PDF.js 프로젝트는 HTML5와 JavaScript가 이전에는 네이티브 응용 프로그램으로 만 만들 수 있었던 응용 프로그램을 만들 정도로 강력하다는 것을 명확하게 보여줍니다."라고 Mozilla 소프트웨어 엔지니어는 말했습니다. "대부분의 PDF는 빠르게로드되고 렌더링되며 브라우저에서 안전하게 작동하는 인터페이스를 갖추고 있습니다."

뷰어는 표준 HTML5 API (응용 프로그램 프로그래밍 인터페이스)를 사용하기 때문에 다른 브라우저 및 태블릿 및 휴대 전화와 같은 다양한 플랫폼에서 웹 응용 프로그램으로 실행되는 뷰어의 라이브 데모는 PDF.js 웹 사이트에서 볼 수 있습니다. "915>"Firefox Beta의 PDF.js 구동 뷰어는 Firefox의 릴리스 버전에서 완전히 통합 된 기능이되는 첫 번째 단계입니다. Mozilla 소프트웨어 엔지니어는 Mozilla는 타사 PDF보기 플러그인이 설치되어있는 경우에도이 뷰어가 기본적으로 사용되는지 여부를 명확하게 밝히지 않았습니다. 회사는 해설 요청에 즉각적으로 응답하지 않았습니다.

해커에 대한 관심이 적음

보안 전문가는 내장 된 PDF 뷰어가 사용자에게 더 많은 보안을 제공 할 것이라고 믿지만 그렇지 않기 때문에 반드시 그렇지는 않습니다 타사 PDF 뷰어 플러그인과 같은 취약점이 있습니다.

이러한 구현은 최종 사용자에게 Adobe Reader보다 사용자 기반이 더 작고 더 많은 보안을 제공하기 때문에 보안이 강화 될 수 있습니다. 바이러스 백신 공급 업체 인 카스퍼 스키 랩의 선임 보안 연구원 인 스테판 타나 세 (Stefan Tanase)는 이메일을 통해 소프트웨어 조각을 발표했습니다. "파이어 폭스가 사용자 보안에 대한 추가 생각을하게되어 매우 기쁩니다. 걱정스럽게도 PDF.js가 기반을 둔 기술조차도 취약 할 수 있습니다"라고 Tanase는 브라우저 JavaScript의 취약점 렌더링 엔진은 드문 일이 아닙니다. 예를 들어 며칠 전 파이어 폭스 18에서 수정 된 원격 코드 실행 취약점 인 CVE-2013-0750을 지적했다. 이 취약점은 브라우저가 JavaScript 문자열 연결의 길이를 계산하는 방식의 버그로 인해 발생합니다.

이 취약점도 예외는 아니지만 오히려 규칙입니다. "유사한 제품은 매년 모든 제품 버전에서 발견되며 공격자가 코드를 실행하고 소프트웨어를 설치하는 데 사용할 수 있으므로 일반적인 탐색보다 사용자 상호 작용이 필요하지 않습니다."

이 PDF 뷰어 구성 요소는 세 번째 -party 플러그인이 자바 스크립트 / HTML5로 작성된 것이라면 취약성 정보 제공 업체 시큐 니아 (Secunia)의 수석 보안 담당자 인 토마스 크리스텐센 (Thomas Kristensen)은 이메일을 통해 말했다.

보안 문제는 여전히 남아 있습니다. 그러나 이것이 취약점에 취약하지 않다는 의미는 아닙니다. "새로운 기능이 브라우저에 추가되거나 그렇지 않으면 PDF 리더가 브라우저에서 권한을 얻게되면 브라우저의 취약성을 악용 할 수 있고 새로운 취약점이 될 수 있습니다."

"기술적 인 관점에서 볼 때 보안 컨설팅 업체 인 위험 기반 보안 (Risk Based Security)의 수석 연구 책임자 인 카스텐 아이 람 (Carsten Eiram)은 이메일을 통해 "브라우저의 기존 기능을 활용하는 PDF 뷰어를 만드는 것은 매우 흥미 롭다. "브라우저가 HTML5 및 JavaScript 지원을 통해 고급 기능을 수행하므로 PDF 파일을 실제로 파싱 할 수 있기 때문에 기본 PDF보기 기능 만 필요한 대부분의 사용자에게는 별도의 PDF 뷰어를 사용하지 않아도됩니다."

일반적으로 코드가 시스템 상에 존재한다면, 잠재적 인 공격에 덜 노출 될 것이라고 Eiram 씨는 말했다. 그는 많은 사용자가 실제로 필요로하지 않는 취약성이있는 기능을 포함하는 별도의 PDF 리더 애플리케이션을 설치하는 대신 내장 된 PDF 뷰어 구성 요소를 사용하여 시스템의 전반적인 공격 범위를 줄일 수 있다고 덧붙였습니다.

이 이론과 함께. "웹 페이지와 PDF 모두에 동일한 렌더링 엔진을 사용하면 분명히 장점이 있습니다. 코드베이스가 더 작아서 공격 대상이되고 잠재적 인 위험이 낮아집니다"라고 Eiram은 JavaScript 및 HTML5 구현이 브라우저에 얼마나 견고한지를 알 수 있습니다. 다행히도 이러한 취약점이 발견되면 브라우저 공급 업체에 맡겨 버리는 경우가 있습니다. "라고 그는 말하면서"이러한 구현의 모든 취약점이 PDF 뷰어에도 영향을 미칠 것으로 기대합니다. Tanase 씨는 브라우저 제조업체, 특히 Mozilla와 Google은 취약성 관리에 대한 우수한 실적을 보유하고 있으며 타사 플러그인 공급 업체보다 이전 버전의 업데이트 메커니즘이 개선되었다고 전했다.