Solution au plantage de l'Explorateur Windows
Table des matières:
Un composant de visionneuse PDF intégré basé sur JavaScript et HTML5 a été ajouté à la version bêta de Firefox 19, Mozilla a déclaré vendredi.
Le fabricant de navigateurs a décrit la visionneuse PDF intégrée comme plus sûre et plus sûre que les plug-ins d'affichage PDF propriétaires, comme ceux installés par Adobe Reader ou Foxit Reader. Cependant, plusieurs experts en sécurité ont noté qu'il ne serait probablement pas exempt de vulnérabilités.
"Depuis plusieurs années, il existe plusieurs plugins pour visualiser les fichiers PDF dans Firefox", a déclaré Bill Walker, ingénieur chez Mozilla et Brendan Dahl, ingénieur logiciel chez Mozilla. Vendredi dans un billet de blog. «Beaucoup de ces plugins sont livrés avec du code source fermé qui pourrait potentiellement exposer les utilisateurs à des failles de sécurité.Les plugins d'affichage PDF sont également accompagnés de code supplémentaire pour faire beaucoup de choses que Firefox ne fait pas, comme dessiner des images et du texte.
La visionneuse PDF intégrée en cours de test provient d'un projet Mozilla Labs appelé PDF.js. "Le projet PDF.js montre clairement que HTML5 et JavaScript sont maintenant assez puissants pour créer des applications qui auraient pu être créées auparavant en tant qu'applications natives", déclarent les ingénieurs logiciels de Mozilla. «Non seulement la plupart des PDF sont chargés et rendus rapidement, mais ils fonctionnent de manière sécurisée et disposent d'une interface qui se sent chez soi dans le navigateur.»
Comme le visualiseur utilise des API HTML5 standard (interfaces de programmation d'applications), il peut fonctionner dans différents navigateurs. sur différentes plates-formes, comme les tablettes et les téléphones mobiles. Une démo en direct de la visionneuse exécutée en tant qu'application Web est disponible sur le site Web PDF.js.
"La visionneuse PDF.js powered dans Firefox Beta est la première étape pour devenir une fonctionnalité entièrement intégrée dans la version de Firefox », expliquent les ingénieurs du logiciel Mozilla.
Mozilla n'a pas précisé si cette visionneuse sera utilisée par défaut, même si un plug-in d'affichage PDF tiers est installé.
Moins d'invitations aux pirates
Les experts en sécurité pensent que la visionneuse PDF intégrée offrira plus de sécurité aux utilisateurs, mais pas nécessairement parce qu'elle ne sera pas encline à commenter.
Une telle implémentation pourrait fournir plus de sécurité à l'utilisateur final car sa base d'utilisateurs sera plus petite comparée à celle d'Adobe Reader et les cybercriminels continueront à se concentrer sur l'exploitation des plus populaires. Stefan Tanase, chercheur senior en sécurité chez le fournisseur d'antivirus Kaspersky Lab, a déclaré par e-mail. "Bien que je suis excité de voir que Firefox accorde une attention supplémentaire à la sécurité de ses utilisateurs, ce qui m'inquiète, c'est que même les technologies sur lesquelles PDF.js est basé peuvent être vulnérables."
Tanase a souligné que les vulnérabilités du navigateur Le moteur de rendu n'est pas rare. A titre d'exemple, il a signalé CVE-2013-0750, une vulnérabilité d'exécution de code à distance corrigée dans Firefox 18 il y a quelques jours. La vulnérabilité provient d'un bug dans la façon dont le navigateur calcule la longueur d'une concaténation de chaînes JavaScript.
Cette vulnérabilité n'est pas l'exception, mais plutôt la règle, a déclaré Tanase. "Des versions similaires sont découvertes chaque année, principalement dans toutes les versions du produit et peuvent toutes être utilisées par des attaquants pour exécuter du code et installer des logiciels, sans intervention de l'utilisateur."
Ce composant PDF viewer pourrait être plus sûr que le troisième -party plug-ins s'il est entièrement écrit en JavaScript / HTML5, Thomas Kristensen, le chef de la sécurité du fournisseur de renseignements sur les vulnérabilités Secunia, a déclaré par e-mail.
Les problèmes de sécurité restent
Cependant, cela ne signifie pas qu'il ne soit pas sujet à des vulnérabilités, a-t-il dit. "Si de nouvelles fonctionnalités ont été ajoutées au navigateur ou si le lecteur PDF est privilégié dans le navigateur, il peut être vulnérable et devenir un nouveau vecteur pour exploiter ces vulnérabilités dans le navigateur."
"D'un point de vue technique, je trouve C'est très intéressant qu'ils créent une visionneuse PDF qui utilise les capacités existantes du navigateur », a déclaré Carsten Eiram, chef de la recherche à la société de conseil en sécurité Risk Based Security, par e-mail. "Étant donné que les navigateurs sont maintenant si avancés avec le support HTML5 et JavaScript qu'ils peuvent réellement analyser les fichiers PDF, cela pourrait rendre inutile la visionneuse de PDF séparée pour la plupart des utilisateurs qui n'ont besoin que de fonctionnalités de base."
Il y a un code sur un système, le moins exposé aux attaques potentielles, a déclaré Eiram. L'utilisation de ce composant de visionneuse PDF intégré au lieu d'installer une application de lecteur PDF distincte qui inclut souvent des fonctionnalités dont de nombreux utilisateurs n'ont pas vraiment besoin et qui peuvent être vulnérables réduit la surface d'attaque globale du système. avec cette théorie. "Il y a un net avantage à utiliser le même moteur de rendu pour les pages Web et les PDF: le code de base est plus petit, donc la surface d'attaque et le risque potentiel sont réduits", a-t-il dit. Cela dépendra de la solidité des implémentations JavaScript et HTML5 dans le navigateur. "Je m'attendrais à ce que les vulnérabilités de ces implémentations affectent aussi la visionneuse de PDF", a-t-il dit.
Heureusement, si de telles vulnérabilités sont détectées, le travail de correction incombe au fournisseur du navigateur. Les navigateurs, en particulier Mozilla et Google, ont de très bons antécédents en matière de gestion des vulnérabilités et, historiquement, ont eu de meilleurs mécanismes de mise à jour que les fournisseurs de plug-ins tiers, a dit Tanase.
Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.
Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.
Le courtier ChoicePoint, victime d'une violation de données en 2004 affectant plus de 160 000 résidents américains, a accepté de renforcer ses efforts de sécurité des données et de payer une amende pour une deuxième violation en 2008, a annoncé lundi la Federal Trade Commission. une filiale de Reed Elsevier paiera 275 000 $ US pour régler la plus récente plainte de FTC. La FTC a accusé la société de ne pas avoir mis en place un programme complet de sécurité de l'information pour protéger les ren
La violation d'avril 2008 compromettait les données personnelles de 13 750 personnes un communiqué de presse. ChoicePoint a désactivé un outil de sécurité électronique «clé» utilisé pour surveiller l'accès à l'une de ses bases de données et n'a pas détecté que l'outil de sécurité avait été éteint pendant quatre mois, a déclaré la FTC. depuis votre PC Windows]
Visionneuse universelle: visionneuse de fichiers avancée pour toutes les extensions de fichiers
Universal Viewer: Visualiseur de fichiers avancé prenant en charge plusieurs extensions de fichier.