Google tích hợp trình xem PDF an toàn vào Chrome

Google integrates safe PDF viewer in Chrome

29 June 2010, 14:24

Theo: http://www.h-online.com/security/news/item/Google-integrates-safe-PDF-viewer-in-Chrome-1030640.html

Bài được đưa lên Internet ngày: 29/06/2010

Lời người dịch: Vì lý do an ninh, Google đã tích hợp trình xem PDF vào trong trình duyệt web Chrome của mình dưới dạng một hộp cát. “Vì trình xem PDF chạy trong một hộp cát, các lỗ hổng an ninh được mong đợi sẽ không ngay lập tức gây tổn thương cho toàn bộ hệ thống, như chúng có thể làm với với trình cài cắm của Adobe. Hơn nữa, trình xem này sẽ luôn được cập nhật cùng với Chrome. Vì Chrome được tự động cập nhật ở phần nền, nên người sử dụng sẽ không phải ngưng công việc với các cập nhật bằng tay”.

Trong phiên bản của các lập trình viên cho trình duyệt web Chrome của mình, Google đã tích hợp trình xem PDF đầu tiên của mình, mà nó làm cho trình cài cắm của Adobe Reader là không cần thiết nữa và được thiết kế để cung cấp an ninh tốt hơn. Vì trình xem PDF chạy trong một hộp cát, các lỗ hổng an ninh được mong đợi sẽ không ngay lập tức gây tổn thương cho toàn bộ hệ thống, như chúng có thể làm với với trình cài cắm của Adobe. Hơn nữa, trình xem này sẽ luôn được cập nhật cùng với Chrome. Vì Chrome được tự động cập nhật ở phần nền, nên người sử dụng sẽ không phải ngưng công việc với các cập nhật bằng tay.

Adobe cũng đã tích hợp “các cập nhật thầm lặng” như vậy trong Reader, nhưng một số lượng lớn các triển khai cài đặt bị tổn thương vẫn còn đang được sử dụng. Một cách ngẫu nhiên, một cập nhật an ninh cho Reader và Acrobat được mong đợi sẽ được tung ra tối hôm nay để đóng lại một số các lỗ hổng an ninh sống còn.

Sử dụng các thiết lập mặc định, trình xem PDF của Chrome được vô hiệu hóa và phải được kích hoạt theo about:plugins. Khi bạn sau đó khởi động một tài liệu PDF, thì nó sẽ mở trong một tab mới, nơi mà bạn cũng có thể phóng to và tìm kiếm. Google nói trình xem mới này còn chưa hỗ trợ tất cả các chức năng mở rộng của Adobe reader, như các tệp phương tiện nhúng. Hơn nữa, Google chỉ mới tích hợp trình xem PDF này vào trong các phiên bản cho Windows và Mac của Chrome. Còn chưa có sự hỗ trợ cho Linux vào lúc này, dù được mong đợi sẽ sẵn sàng thông qua kênh các lập trình viên trong vài tuần tới. Trình cài cắm tích hợp có thể có với Linux, nhưng Chrome mới chỉ thông báo một “trình cài cắm còn thiếu” trong một cuộc thử được thực hiện bởi liên đoàn H tại site heise Security.

Vào đầu tháng 5, nhà cung cấp phần mềm chống virus F-Secure đã viết một thư ngỏ cho Microsoft yêu cầu hãng này xuất bản một trình xem PDF đơn giản. Lý do cho yêu cầu này là dòng liên tục các lỗ hổng an ninh mới trong Adobe Reader, nhiều trong số đó là kết quả của những lựa chọn bổ sung mà chúng còn chưa cần thiết để xem tài liệu một cách đơn giản như chức năng khởi tạo, hỗ trợ JavaScript, và khả năng chơi lại các tệp âm thanh và video. Google bây giờ đã chăm sóc cho bản thân vấn đề này rồi.

Google cũng đang làm việc về một giao diện lập trình ứng dụng cài cắm được cải thiện (Pepper) mà nó sẽ làm dễ dàng hơn cho các trình cài cắm để chạy trong một hộp cát. Các phiên bản trong tương lai của Chrome sẽ từ chối tải những trình cài cắm lỗi thời và cảnh báo cho người sử dụng khi họ viếng thăm một website đối với một trình cài cắm ít khi được sử dụng. Đã có những trình cài cắm riêng rẽ có thể bị vô hiệu hóa mà không phải khởi động lại trình duyệt.

Vì Chrome đã có chứa Flash Player khi được tải về, nên trình duyệt này của Google có thể trở nên phổ biến trong những người sử dụng từ quan điểm an ninh - và tốc độ. Theo StatCounter, Chrome đã vượt Safari của Apple tại Mỹ, nơi có 8.97% người sử dụng lướt web bằng Chrome, so với 8.88% với Safari.

In the developer version of its Chrome web browser, Google has integrated its first PDF viewer, which makes Adobe's Reader plug-in superfluous and is designed to provide better security. Because the PDF viewer runs in a sandbox, security flaws are not expected to immediately compromise the entire system, which they can do with Adobe's plug-in. In addition, the viewer will always be updated along with Chrome. Because Chrome is automatically updated in the background, users do not have to fiddle around with manual updates.

Adobe has also integrated such "silent updates" in Reader, but a large number of vulnerable installations remain in use. Incidentally, a security update for Reader and Acrobat is expected to be released tonight to close a number of critical security holes.

Using the default settings, the Chrome PDF Viewer is disabled and has to be enabled under about:plugins. When you then launch a PDF document, it opens up in a new tab, where you can also zoom and search. Google says the new viewer does not yet support all of the extended functions of Adobe reader, such as embedded media files. In addition, Google has only integrated the PDF viewer in the Windows and Mac versions of Chrome. There is no support for Linux at the moment, though it is expected to be made available via the developer channel in the next few weeks. The integrated plug-in can already be enabled under Linux, but Chrome merely reported a "missing plug-in" in a test conducted by The H's associates at heise Security.

At the beginning of May, antivirus vendor F-Secure wrote an open letter to Microsoft asking the firm to publish a simple PDF viewer. The reason for this request was the constant stream of new security flaws in Adobe Reader, many of which are the result of additional options that are not even needed to simply view a document, such as the /launch function, JavaScript support, and the ability to playback audio and video files. Google has now taken care of the matter itself.

Google is also working on an improved plug-in API (Pepper) that will make it easier for plug-ins to run within a sandbox. Future versions of Chrome will refuse to load outdated plug-ins and warn users when they visit a website for a rarely used plug-in. Already, individual plug-ins can be disabled without having to relaunch the browser.

Because Chrome already contains the Flash Player when downloaded, Google's browser could become popular among users from the point of view of security – and speed. According to StatCounter, Chrome has already overtaken Apple’s Safari in the US, where 8.97% of users surf with Chrome, compared to 8.88% with Safari.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com