Achtung: Firefox lässt ab Werk wieder aktives JavaScript in PDFs zu

Der vorsichtige Umgang mit Skripten ist eine wichtige Security-Vorsorge. Code sollte letztlich nur dort ausgeführt werden, wo dies benötigt wird. Aus irgendeinem nicht besonders leicht nachvollziehbaren Grund hat man sich bei Mozilla aber entschieden, einen anderen Weg zu gehen. Seit Firefox 88 ist die automatische Blockade von JavaScript-Code, der beispielsweise in PDF-Dokumenten eingebettet ist, nicht mehr vorhanden.

Wie die Kollegen von SemperVideo zeigen, aktiviert sich so im Zweifelsfall Programmcode, der vom Nutzer nicht erwartet wurde. Das kann auch einige unangenehme Folgen haben. Es ist daher durchaus sinnvoll, der Anleitung im Video zu folgen und die Sperre manuell wieder zu aktivieren.

Mehr von SemperVideo: Auf YouTube

Verwandt

Adobe lässt Antiviren-Tools aktuell nicht in PDF-Dokumente schauen

Dieses Video empfehlen

Kommentieren13

Tags:

Jetzt einen Kommentar schreiben

[o1] am ++--

Thx4info!

[o2] am ++1 --2

Passt zum sonstigen Vorgehen von Mozilla.
Alles nicht zu verstehen.

[o3] am ++--

Okay... ^^

[re:1] am ++2 --

@Haidrow_7: Das war das erste, was mir einfiel, ohne überhaupt das Video gesehen zu haben. Man konnte schon am Vorschaubild erkennen, von wem das ist. Der Typ ist der einzige, der bei Windows die Taskleiste oben hat, warum auch immer... ^^

[re:1] am ++--

@DON666: Ja :D Ich mag seine Art wie er seine Videos einspricht. Und allgemein sind sein Videos interessant.

[o4] am ++4 --5

Was für ein reißerisches und irreführendes Video. Diese Infoxbox ist wirklich ganz gefährlich und formatiert gleich meinen Computer - nicht.
Hier wird miese Panikmache verbreitet und hart ge-click-baited. Jede Webseite führt kontinuierlich tausende Javascript Funktionen aus und diese haben exakt die gleichen Berechtigungen im Browser wie eine PDF im Browser - nämlich keine nennenswerten. Warum hat der Werte Videoersteller denn nicht aufgezeigt, was außer Infoxboxen da jetzt gefährliches passieren soll?
Javascript ist im Browser gesandboxed und hat keine nennenswerten Rechte, sonst könnte man nämlich gar keine Webseiten aufrufen. Solche Sicherheitslücken laufen als Zero-Days und werden mit Sicherheit nicht über PDFs ausgeliefert sondern über normale Links.
Jedenfalls ist es vollkommen unplausibel warum der werte Videoersteller dann nicht gleich Javascript im gesamten Browser und für alle Webseiten deaktiviert.

[re:1] am ++1 --2

@MysteryXXX: Du hast aber schon ne Ahnung von dem, was Du hier schreibst, oder? Mit JavaScript hat man tausende Möglichkeiten. Und wenn es nur Tracking ist, ob eine bestimmte PDF-Datei auch gelesen wurde. Geschweige von den vielen miesen Tricks, die mit JavaScript möglich sind, oder vielleicht mal sein werden.

Flash war anfangs auch eine tolle Sache, wenn man Menüs in Websites annimieren konnte. Mit jedem neuen Update kamen fragwürdigere Methoden zu Flash hinzu, bis es schließlich dermaßen durchlöchert war, bis es schlussendlich gestorben ist. Ein PDF ist ein statisches Dokument. Und das sollte es auch bleiben.

[re:1] am ++--3

@Hanni&Nanni: Was er sagen wollte: JS in PDFs haben 'bloß' die gleichen Möglichkeiten wie jede andere Webseite auch. Also im Grunde nicht wirklich dramatisch. Tracker sollten - denke ich zumindest - auch in PDFs via uBlock zu blocken sein.

[re:1] am ++1 --

@kingstyler001: uBlock analysiert Webseiten und blockiert Inhalte auf der Webseite. Daher kann uBlock natürlich nicht solche Inhalte filtern, denn dann müsste es zusätzlich einen PDF-Parser implementieren. Das wäre eine ganz andere Funktionalität. Man könnte allenfalls PDF generell blockieren.

[o5] am ++--

so wie es aussieht, ist bei Chrome-basierten Browsern das Problem noch gravierender: denn dort läßt sich anscheinend JS nur komplett abschalten - und dann funktionieren diverse Webseiten nicht mehr;- wie winfuture oder Banking. aber dafür funktioniert "sempervideo.de/loremjs.pdf zu 100%!!! yancy

[o6] am ++--

Wer Adobe Acrobat zusätzlich nutzt, sollte "JavaScript" auch deaktivieren, sicherheitshalber. ;)
https://helpx.adobe.com/de/acrobat/using/javascripts-pdfs-security-risk.html

[o7] am ++--2

Firefox zählte in den letzten Jahren bereits zu den unsichersten Browsern am Markt. Davon abgesehen, gibt es bessere Alternativen als Firefox, wenn es um Sicherheit geht.

[o8] am ++--

Spannend. Zeit den Browser Test von unserem «Binäres Rätsel», eine PDF mit interaktiven JS Objekten für Adobe Reader DC, im FireFox 88 zu testen... Link zum PDF https://nextcloud.actino.de/index.php/s/rSN8ZCKBr7Cgrsm