PDF-lugejad, nagu Adobe Reader, on aastate jooksul olnud paljudel turvaaukudel. Seda seetõttu, et PDF-fail ei ole ainult dokument - see võib sisaldada skripte, manustatud meediumit ja muid küsitavaid asju.
PDF-failid ei ole ainult dokumendid
PDF-failivorming on tegelikult väga keeruline. See võib sisaldada palju asju, mitte ainult teksti ja pilte, nagu võite eeldada. PDF toetab paljusid funktsioone, mida see kindlasti ei tohiks olla, mis on varem avanud mitmeid turvaauke.
- JavaScript: PDF-failid võivad sisaldada JavaScripti koodi, mis on teie brauseri veebilehtede jaoks sama keel. PDF-failid võivad olla dünaamilised ja käivitada koodi, mis muudab PDF-i sisu või manipuleerib PDF-vaataja funktsioone. Ajalooliselt on paljud tõrkeotsingud põhjustatud PDF-failidest, mis kasutavad Adobe Readeri kasutamiseks JavaScripti koodi. Adobe Readeri JavaScripti rakendus sisaldab ka Adobe spetsiaalseid JavaScripti API-sid, millest mõned olid ebakindlad ja mida on ära kasutatud.
- Embedded Flash: PDF-failid võivad sisaldada manustatud Flash-sisu. Mis tahes Flash-i haavatavust võib kasutada ka Adobe Readeri kompromissiks. Kuni 10. aprillini 2012 sisaldas Adobe Reader oma komplekti kuuluvat Flash Playerit. Põhilisse Flash-faili fikseeritud turvaprobleemid ei pruugi olla faile Adobe Readeri komplekti kuuluva Flash-mängijaga fikseeritud nädalateks hiljem, jättes turvaaukud kasutamiseks laialdaselt avatuks. Adobe Reader kasutab nüüd teie arvutisse installitud Flash Playerit, mitte sisemist mängijat.
- Käivita toimingud: PDF-faile oli võimalik käivitada mis tahes käsk pärast kinnituste akna avamist. Adobe Readeri vanemates versioonides võiks PDF-fail üritada käivitada ohtlik käsk seni, kuni kasutaja klõpsas OK. Adobe Reader sisaldab nüüd musta nimekirja, mis piirab käivitatavate failide käivitamisel PDF-faile.
- GoToE: PDF-failid võivad sisaldada sisseehitatud PDF-faile, mida saab krüpteerida. Kui kasutaja laadib peamise PDF-faili, võib see kohe oma varjatud PDF-faili koormata. See võimaldab ründajal varjata pahatahtlikke PDF-faile muude PDF-failide sees, viirustõrje skannerid petavad, kuna nad ei lase neil peidetud PDF-faili uurida.
- Sisseehitatud meediumikontrollid: Lisaks Flashile võivad PDF-id ajalooliselt sisaldada Windows Media Playerit, RealPlayerit ja QuickTime'i meediat. See võimaldaks PDF-l kasutada nende põimitavate multimeediapleieri juhtnuppude nõrku kohti.
PDF-faili vormingus on palju rohkem funktsioone, mis suurendavad rünnaku pinda, sealhulgas võime lisada mis tahes faili PDF-is ja kasutada 3D-graafikat.
PDF-i turvalisus on paranenud
Nüüd peaksite loodetavasti aru saama, miks Adobe Readeri ja PDF-failid on olnud nii paljude turvaaukude allikaks. PDF-failid võivad tunduda lihtsate dokumentidega, kuid neid ei tohi petta - pinna all võib toimuda palju rohkem.
Hea uudis on see, et PDF-turvalisus on paranenud. Adobe lisas Adobe Reader X-s kaitstud režiimi liidesega kaitstud režiimi. See käitab PDF-i piiratud lukustatud keskkonnas, kus tal on juurdepääs ainult teatud arvutiosadele, mitte kogu teie operatsioonisüsteemile. See sarnaneb sellele, kuidas Chrome'i liivakastid eraldavad veebisaidi ülejäänud arvutist. See loob ründajatele palju tööd. Nad ei pea lihtsalt PDF-vaataja turvalisuse haavatavust leidma - nad peavad leidma turvahaavatavuse ja seejärel kasutama liivakasti teist turvahaavatavust, et pääseda liivakastist ja kahjustada ülejäänud arvutit. Seda pole võimatu teha, kuid pärast liivakasti kasutuselevõttu on Adobe Readeris avastatud ja kasutusel palju vähem turvaaukusid.
Kuigi võime küsida, kas PDF-failid peaksid tõesti kõik need asjad tegema, on PDF-i turvalisus vähemalt paranenud. See on midagi enamat, kui võime öelda Java-plugina jaoks, mis on kohutav ja on praegu veebis peamine rünnaku vektor. Chrome hoiatab teid enne Java-sisu käivitamist, kui teil on Java-pistikprogramm olemas.
