Biztonsági rés nélkül is veszélyes a PDF
Az elterjedt dokumentumformátum specifikációja lehetővé teszi idegen programok futtatását a PDF-olvasókban – mondja egy szakértő.
Egy belga IT-biztonsági szakember megtalálta a módját annak, hogy csupán a dokumentumformátum specifikációt kreatívan követve miként futtatható PDF-fájlba beágyazott programkód windowsos számítógépeken. Didier Stevens szerint az eljárás különlegessége az, hogy nem támaszkodik az érintett szoftverek esetleges biztonsági réseire.
Amint a blogjában írja, a PDF-olvasó programok – mint amilyen az Adobe Reader – nem engedélyezik végrehajtható állományok (binárisok és szkriptek) futtatását. Ő azonban felfedezte, hogyan lehet mégis elindítani egy speciális technikával a dokumentumba ágyazott futtatható fájlt. Igaz, az Adobe Reader csak felhasználói jóváhagyás után hajlandó a programot futtatni, a szakértő arra is rájött, miként módosíthatja az erre figyelmeztető ablakban megjelenő szöveget, legalábbis annak egy részét. Egy jól kitalált üzenettel – mondja – így könnyedén rávehető a gyanútlan számítógép-használó a futtatási engedély megadására. Kipróbálta a trükköt egy másik PDF-olvasó programmal, a Foxit Readerrel is, az ráadásul kérdés nélkül végrehajtotta a fájlt.
„Az Adobe Reader esetében a végrehajtás útjában egyedül a figyelmeztetés áll. A JavaScript tiltása nem véd (mert nem használok JavaScriptet a demó PDF-ben), és patchelni sem lehet a programot (mert nem támaszkodom sebezhetőségre, csupán kreatívan használom a PDF-specifikációt)” – írja.
A trükk leírását egyelőre nem publikálta, azt csupán az Adobe-nak küldte meg abban a reményben, hogy valamilyen megoldást találnak a kivédésére. Az általa elkészített, ártalmatlan kódot tartalmazó demófájl viszont letölthető a blogjáról.
A beszámolót Mikko Hyppönen, az F-Secure kutatási igazgatója a blogjában kommentálta. Mint írja: átfutotta a PDF-specifikációt, és megdöbbent azon, hogy mi mindenre ad az lehetőséget. „Ilyen specifikáció mellett nem csoda, hogy az Adobe Reader ilyen csigalassúsággal indul el és tölti be az összes plugint. Az sem meglepő, hogy rendre előkerülnek biztonsági problémák a PDF-olvasókban.” A szakértő azt ajánlja, hogy a felhasználók, ha lehet, ne töltsék le a PDF-dokumentumokat a saját gépükre, hanem inkább online PDF-olvasókban – mint amilyen a Google Docsban található – nyissák meg azokat.
