it-spezi
Goto Top

Firefox: Mozilla aktiviert Javascript im integrierten PDF Viewer

Hallo liebe Community,

bis Firefox 87 hat Mozilla die Ausführung von Javascript im integrierten PDF Viewer deaktiviert. Ab Firefox 88 ist die Ausführung von Javascript automatisch aktiviert.
(Keine Ahnung was die Entwickler dazu getrieben hat.)

Javascript lässt sich zwar auch für sinnvolle Dinge nutzen, aber leider kann damit auch viel Blödsinn getrieben werden. Einige von Euch können sich sicherlich noch an die Hackerangriffe durch infizierte PDFs erinnern. Der Angriffsvektor war damals aktiviertes Javascript im PDF-Programm.

Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.

Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
  • Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
  • Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
Die Änderung ist im Firefox sofort aktiv.

Gruß

its

Content-Key: 666369

Url: https://administrator.de/contentid/666369

Printed on: May 29, 2024 at 06:05 o'clock

Member: Thomas1969
Thomas1969 May 10, 2021 at 12:07:46 (UTC)
Goto Top
Hallo,

Zum Glück kann man die durch das Update vorgenommene Änderung auch wieder rückgänig machen.
Die Ausführung von Javascript lässt sich in den erweiterten Einstellungen wie folgt deaktivieren:
  • Startet den Firefox, gebt in der Adresszeile about:config ein und bestätigt die Warnung.
  • Sucht nach pdfjs.enableScripting und stellt den Wert durch einem Doppelklick von true auf false.
Die Änderung ist im Firefox sofort aktiv.

das geht aber leider nur in lokalen Konfigurationen - wird der FF über GPO konfiguriert kannst Du entweder den PDF-Support abschalten oder eben diese Sache mit dem Java in PDF hinnehmen.

Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?

Davon abgesehen ist es aber so, das PDF dann in einer Sandbox im Browsertab angezeigt wird. Also das ist schon ziemlich sicher meine ich.
Dazu kommt die Überlegung das kaum eine 'moderne' Website ohne Javascript auskommt. 'Modern' in Gänsefüsschen weil das vorhandensein von Java kaum eine gute Website ausmachen wird ;)
Aber jede Website darf JS und soll angzeigt werden, nur das böse PDF nicht? Das wichtigste Einfallstor für Schadsoftware ist immer noch E-Mail.

Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Unser Sicherheitsbeauftragter war jedenfalls am Spucken ;)

T.
Mitglied: 148121
148121 May 11, 2021 updated at 13:20:06 (UTC)
Goto Top
Zitat von @Thomas1969:
Beides ist für gemanagte Umgebungen eher suboptimal. Eine gleichzeitige Vewendung von GPO und json geht wohl auch nicht. Oder kennt jemand guten einen Weg?
Autoconfig geht immer, auch in Kombination mit GPOs face-wink
https://support.mozilla.org/en-US/kb/customizing-firefox-using-autoconfi ...
Für micht ist die Preisfrage: Warum kann ich den entsprechenden Parameter nicht per GPO übergeben?
Weil er noch nicht in den Templates hinzugefügt wurde.
Was mit GPO geht legen ja die Templates fest.

Gruß w.