ফায়ারফক্সের পিডিএফ ভিউয়ার হতাশার হ্যাকারদের দ্বারা নিরাপত্তা বৃদ্ধি করতে পারে

জাভাস্ক্রিপ্ট এবং HTML5 ওয়েব প্রযুক্তিগুলির উপর ভিত্তি করে একটি অন্তর্নির্মিত পিডিএফ ভিউটার উপাদান বিটা সংস্করণে যুক্ত করা হয়েছে ফায়ারফক্সের 19, মোজিলা শুক্রবার বলেছে।

ব্রাউজার নির্মাতা বিল্ট-ইন পিডিএফ ভিউয়ারটিকে আরো সুরক্ষিত এবং মালিকানাধীন পিডিএফ দেখার প্লাগইনগুলির মতো অ্যাডোব রিডার বা ফক্সিট রিডার দ্বারা ইনস্টল করা হিসাবে নিরাপদ বলে বর্ণনা করেছেন। তবে, বেশ কয়েকটি নিরাপত্তা বিশেষজ্ঞরা মনে করেন যে এটি সম্ভবত দুর্বলতা নয়।

"কয়েক বছরের জন্য ফায়ারফক্সের মধ্যে পিডিএফ দেখার জন্য বেশ কয়েকটি প্লাগিন রয়েছে", মোজিলা ইঞ্জিনিয়ারিং ম্যানেজার বিল ওয়াকার এবং মোজিলা সফটওয়্যার প্রকৌশলী ব্রেন্ডান ডাহল শুক্রবার একটি ব্লগ পোস্টে। "অনেকগুলি প্লাগইন মালিকানা বদ্ধ সোর্স কোডের সাথে আসে যা ব্যবহারকারীদের সুরক্ষা দুর্বলতাগুলির জন্য সম্ভাব্য প্রকাশ করতে পারে। পিডিএফ দেখার প্লাগইনগুলি অনেক কিছু করার জন্য অতিরিক্ত কোড দিয়ে আসে যা ফায়ারফক্স কোনও মালিকানা কোডের মতোই ভাল করে যেমন চিত্র ও পাঠ্য অঙ্কন করে।"

[আরো তথ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

বর্তমানে পিডিএফ নামক একটি মজিলা ল্যাব প্রকল্প থেকে পরীক্ষিত হয় নির্মিত অন্তর্নির্মিত পিডিএফ ভিউয়ার। "পিডিএফ। জেএস প্রকল্প স্পষ্টভাবে দেখায় যে HTML5 এবং জাভাস্ক্রিপ্ট এখন এমন অ্যাপ্লিকেশন তৈরির জন্য যথেষ্ট ক্ষমতাশালী যেগুলি আগেই শুধুমাত্র নেটিভ অ্যাপ্লিকেশন হিসাবে তৈরি করা হয়েছে," মোজিলা সফ্টওয়্যার ইঞ্জিনিয়াররা বলেন। "শুধুমাত্র পিডিএফ লোড এবং দ্রুত রেন্ডার করে না, তারা নিরাপদে চালায় এবং ব্রাউজারে হোমে দেখে এমন ইন্টারফেস থাকে।"

যেহেতু দর্শকের মান HTML5 API (অ্যাপ্লিকেশন প্রোগ্রামিং ইন্টারফেস) ব্যবহার করে এটি বিভিন্ন ব্রাউজারেও চালাতে পারে বিভিন্ন প্ল্যাটফর্মে, যেমন ট্যাবলেট এবং মোবাইল ফোন একটি ওয়েব অ্যাপ্লিকেশন হিসাবে চলমান ভিউয়ারের লাইভ ডেমোটি পিডিএফ। জেএস ওয়েবসাইটে পাওয়া যায়।

"ফায়ারফক্স বিটাতে পিডিএফ। জেএস চালিত দর্শক এটি ফায়ারফক্সের রিলিজ সংস্করণে সম্পূর্ণরূপে সমন্বিত বৈশিষ্ট্য হয়ে উঠার প্রথম ধাপ। তাই ফায়ারফক্সের সব ব্যবহারকারীই এর উপকারিতা উপভোগ করতে পারে ", মোজিলা সফ্টওয়্যার ইঞ্জিনিয়াররা বলেন।

মজিলা এই বিষয়টি স্পষ্ট করেনি যে এই ভিউয়ারটি ডিফল্টভাবে ব্যবহার করা হবে কিনা তা নিয়েও যদি তৃতীয় পক্ষের পিডিএফ দেখার প্লাগ ইন ইনস্টল করা হয়। কোম্পানি অবিলম্বে মন্তব্যের জন্য একটি অনুরোধের প্রতিক্রিয়া জানায়নি।

হ্যাকারদের আমন্ত্রণ কম

নিরাপত্তা বিশেষজ্ঞরা বিশ্বাস করেন যে বিল্ট-ইন পিডিএফ ভিউয়ার ব্যবহারকারীদের জন্য আরো নিরাপত্তা প্রদান করবে, তবে তা অপরিহার্য নয় কারণ এটি প্রবণ নয় তৃতীয় পক্ষের পিডিএফ ভিউয়ার প্লাগ-ইনগুলি হিসাবে দুর্বলতা।

এই ধরনের বাস্তবায়ন শেষ ব্যবহারকারীকে আরও নিরাপত্তা প্রদান করতে পারে কারণ এটির ব্যবহারকারীর ভিত্তিটি অ্যাডোব রিডার এবং সাইবার ক্রাইমেরিকদের তুলনায় ছোট হবে সবচেয়ে জনপ্রিয় কাজে লাগানোর উপর। সফ্টওয়্যার টুকরা, স্টিফান Tanase, এন্টিভাইরাস বিক্রেতার Kaspersky ল্যাবের একটি সিনিয়র নিরাপত্তা গবেষক, ইমেইল মাধ্যমে বলেন "ফায়ারফক্সের ব্যবহারকারীদের সুরক্ষার জন্য অতিরিক্ত চিন্তা করার জন্য আমি উদ্বিগ্ন হচ্ছি, তবে আমার কি উদ্বেগ আছে যে এমন কোনও প্রযুক্তি যা পিডিএফ। জেএস ভিত্তিক হয় তা অসুখী হতে পারে।"

তানাযে লক্ষ্য করে ব্রাউজারের জাভাস্ক্রিপ্টের দুর্বলতাগুলি রেন্ডারিং ইঞ্জিনটি অসাধারণ নয়। উদাহরণস্বরূপ, তিনি কয়েক দিন আগে ফায়ারফক্স 18-এ সংশোধন করা একটি রিমোট কোড এক্সিকিউশন দুর্বলতা, CVE-2013-0750 এ ইঙ্গিত করেছিলেন। ব্রাউজারটি একটি জাভাস্ক্রিপ্ট স্ট্রিং সংকলনের জন্য দৈর্ঘ্য গণনা করার পদ্ধতিতে দুর্বলতা একটি বাগ হতে পারে।

এই দুর্বলতা ব্যতিক্রম নয়, বরং নিয়ম, Tanase বলেন। "একইরকম প্রতিবছর প্রতিবছর আবিষ্কৃত হয়, বেশিরভাগ প্রতিটি পণ্যের সংস্করণ এবং আক্রমণকারীরা সমস্ত কোড ব্যবহার করে এবং সফ্টওয়্যার ইনস্টল করতে ব্যবহার করতে পারে, সাধারণ ব্রাউজিংয়ের বাইরে কোনও ব্যবহারকারীর ইন্টারঅ্যাকশন প্রয়োজন হয় না।"

এই পিডিএফ ভিউয়ার কম্পোনেন্ট তৃতীয় থেকে বেশি নিরাপদ পার্টির প্লাগইন যদি এটি সম্পূর্ণরূপে জাভাস্ক্রিপ্ট / HTML5 তে লেখা হয়, তাহলে দুর্নীতিবিরোধী গোয়েন্দা সংস্থার সিকিউনিয়ায় প্রধান নিরাপত্তা কর্মকর্তা টমাস ক্রিসটেনসেন ইমেল মাধ্যমে জানান।

নিরাপত্তা সমস্যাগুলি

তবে, এর মানে এই নয় যে এটি দুর্বলতাগুলির প্রবণতা নয়, তিনি বলেন। "যদি ব্রাউজারে নতুন কার্যকারিতা যোগ করা হয় বা পিডিএফ পাঠক অন্যথায় ব্রাউজারে বিশেষভাবে সুবিধা পায় তবে ব্রাউজারের এই দুর্বলতাগুলি উপভোগের জন্য এটি একটি নতুন ভেক্টর হতে পারে।"

"প্রযুক্তিগত দৃষ্টিকোণ থেকে আমি খুঁজে পাই এটা খুব আকর্ষণীয় যে তারা একটি পিডিএফ ভিউয়ার তৈরি করছে যা ব্রাউজারের বিদ্যমান ক্ষমতা ব্যবহার করে। "নিরাপত্তা পরামর্শক সংস্থার ঝুঁকি ভিত্তিক নিরাপত্তার প্রধান গবেষণা কর্মকর্তা কারস্টেন ইরাম ইমেল মাধ্যমে জানান। "যেহেতু এখন ব্রাউজারগুলি HTML5 এবং জাভাস্ক্রিপ্ট সমর্থন সহ উন্নত তাই পিডিএফ ফাইলগুলি পার্স করতে পারে, এটি বেশিরভাগ ব্যবহারকারীদের জন্য পৃথক পিডিএফ ভিউয়ারকে নিঃশেষ করে তুলতে পারে, যারা শুধু মৌলিক পিডিএফ দেখার ক্ষমতা প্রয়োজন"।

সাধারণভাবে, কম কোড একটি সিস্টেমে আছে, কম অসঙ্গতি এটি সম্ভাব্য আক্রমণের হয়, ইরাম বলেন। তিনি বলেন, এই বিল্ট-ইন পিডিএফ ভিউয়ার কম্পোনেন্টটি একটি পৃথক একটি পিডিএফ রিডার অ্যাপ্লিকেশন ইনস্টল করার পরিবর্তে অনেকগুলি বৈশিষ্ট্য অন্তর্ভুক্ত করে যা অনেক ব্যবহারকারীকে অবশ্যই প্রয়োজন হয় না এবং যা ঝুঁকিপূর্ণ হতে পারে, সিস্টেমের সামগ্রিক হামলার পৃষ্ঠ কমিয়ে দেয়।

Tanase এছাড়াও সম্মত এই তত্ত্বের সাথে "ওয়েব পেইজ এবং পিডিএফ উভয়ের জন্য একই রেন্ডারিং ইঞ্জিন ব্যবহার করার সুস্পষ্ট উপকারিতা রয়েছে, যা নির্দেশ করা দরকার: কোড বেসটি ছোট, অতএব আক্রমণের পৃষ্ঠ এবং সম্ভাব্য ঝুঁকি হ্রাস করা হয়," তিনি বলেন।

ইরাম বিশ্বাস করে যে এটি ব্রাউজারে জাভাস্ক্রিপ্ট এবং HTML5 বাস্তবায়ন কতটা কঠিন তা নিচে নেমে আসবে। "আমি এই প্রয়োগগুলির কোনও দুর্বলতা পিডিএফ ভিউয়ারকেও প্রভাবিত করার আশা করি"। তিনি বলেন।

সৌভাগ্যবশতঃ, যদি এই ধরনের দুর্বলতাগুলি পাওয়া যায় তবে তাদের ফিক্সিংয়ের কাজটি ব্রাউজার বিক্রেতাতে পড়ে। ব্রাউজার নির্মাতা, বিশেষ করে মোজিলা ও গুগল, দুর্বলতা পরিচালনার একটি ভাল ট্র্যাক রেকর্ড আছে এবং ঐতিহাসিকভাবে তৃতীয় পক্ষের প্লাগ-ইন বিক্রেতাদের চেয়ে ভাল আপডেট পদ্ধতি আছে, Tanase বলেন।