Firefox: Mozilla aktiviert Javascript im integrierten PDF Viewer

Mitglied: IT-Spezi

IT-Spezi (Level 1) - Jetzt verbinden

May 04, 2021, aktualisiert 10:42 Uhr, 763 Aufrufe, 2 Kommentare, 2 Danke

Hallo liebe Community,

bis Firefox 87 hat Mozilla die Ausführung von Javascript im integrierten PDF Viewer deaktiviert. Ab Firefox 88 ist die Ausführung von Javascript automatisch aktiviert.
(Keine Ahnung was die Entwickler dazu getrieben hat.)

Javascript lässt sich zwar auch für sinnvolle Dinge nutzen, aber leider kann damit auch viel Blödsinn getrieben werden. Einige von Euch können sich sicherlich noch an die Hackerangriffe durch infizierte PDFs erinnern. Der Angriffsvektor war damals aktiviertes Javascript im PDF-Programm.

Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.

Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
  • Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
  • Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
Die Änderung ist im Firefox sofort aktiv.

Gruß

its
Mitglied: Thomas1969
May 10, 2021 um 14:07 Uhr
Hallo,

Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
  • Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
  • Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
Die Änderung ist im Firefox sofort aktiv.

das geht aber leider nur in lokalen Konfigurationen - wird der FF über GPO konfiguriert kannst Du entweder den PDF-Support abschalten oder eben diese Sache mit dem Java in PDF hinnehmen.

Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?

Davon abgesehen ist es aber so, das PDF dann in einer Sandbox im Browsertab angezeigt wird. Also das ist schon ziemlich sicher meine ich.
Dazu kommt die Überlegung das kaum eine 'moderne' Website ohne Javascript auskommt. 'Modern' in Gänsefüsschen weil das vorhandensein von Java kaum eine gute Website ausmachen wird ;)
Aber jede Website darf JS und soll angzeigt werden, nur das böse PDF nicht? Das wichtigste Einfallstor für Schadsoftware ist immer noch E-Mail.

Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Unser Sicherheitsbeauftragter war jedenfalls am Spucken ;)

T.
Bitte warten ..
Mitglied: warranty
May 11, 2021, aktualisiert um 15:20 Uhr
Zitat von @Thomas1969:
Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
Autoconfig geht immer, auch in Kombination mit GPOs ;-) face-wink
https://support.mozilla.org/en-US/kb/customizing-firefox-using-autoconfi ...
Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Weil er noch nicht in den Templates hinzugefügt wurde.
Was mit GPO geht legen ja die Templates fest.

Gruß w.
Bitte warten ..
Heiß diskutierte Inhalte
Data privacy
FAX ist nicht mehr Datenschutzkonform
brammer1 day agoInformationData privacy50 Comments

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin951 day agoGeneralHumor (lol)16 Comments

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
solved Coreknabe1 day agoQuestionWindows Update12 Comments

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgborn1 day agoInformationExchange Server4 Comments

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Networking Basics
Statische Route auf UTM
solved Ex0r2k1612 hours agoQuestionNetworking Basics31 Comments

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausB1 day agoQuestionExchange Server8 Comments

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
Ormenson1 day agoQuestionSAN, NAS, DAS10 Comments

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
solved imebro1 day agoQuestionMicrosoft Office11 Comments

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...