Czy PDF jest bezpieczny?

Kolejne luki w bezpieczeństwie czytnika Adobe Reader stawiają pod znakiem zapytania bezpieczeństwo plików PDF.

Adobe PDF, którego wersja 1.7 jest uznana za obowiązujący standard ISO 32000-1:2008, jest popularnym formatem publikacji plików m.in. dlatego, że zachowuje wygląd dokumentu niezależnie od platformy, na której jest odczytywany. Technicznie PDF wykorzystuje popularny język opisu zawartości PostScript, wzbogacono go jednak o elementy hipertekstowe (łącza, zakładki) i osadzanie obiektów, takich jak skrypty czy formularze. PDF jest dobrym formatem końcowym, do którego konwertowane są gotowe dokumenty, przeznaczone wyłącznie do odczytu. Do wytwarzania PDF może służyć dedykowane oprogramowanie (Adobe Acrobat i PDF Creator). Pliki te można także wyeksportować z popularnych programów biurowych i DTP. Do odczytania pliku niezbędny jest odpowiedni program - najczęściej dla Windows jest nim Adobe Reader.

Integracja i automatyczna infekcja

Specjaliści analizujący podatności na błędy systemów operacyjnych Microsoftu od dawna zwracali uwagę na luki w bezpieczeństwie Adobe Readera. Były dość poważne, umożliwiały nawet automatyczne przejęcie kontroli nad stacją roboczą jedynie w wyniku odczytania specjalnie przygotowanego pliku (taką luką jest np. CVE-2007-5020), pozyskania informacji z dysków lokalnych (CAN-2005-1306), czy załamania aplikacji przez wykorzystanie błędu przepełnienia bufora (CVE-2009-0658). SecurityFocus podaje w publikacji dotyczącej CVE-2009-1492 (Bugtraq ID 34736), że luka wykorzystująca interpreter JavaScript nadal pozostaje nie załatana w programie Adobe Reader dla platformy MacOS X, wydanie łaty przewidziano dopiero pod koniec czerwca.

Czytnik PDF Adobe posiada narzędzia integracji z przeglądarką WWW (Internet Explorer, Firefox) i pliki te są otwierane wewnątrz jej okna, w całkowicie automatyczny sposób. Ponieważ jest to zewnętrzna aplikacja, pobrany z Internetu dokument jest przetwarzany we wtyczce, która zawiera osobny kod, uruchamiany z uprawnieniami użytkownika, poza kontrolą przeglądarki. Luka w bezpieczeństwie któregoś ze składników obsługujących aktywną zawartość, np. interpretera JavaScript, skutkuje podatnością na atak całego systemu.

Należy także pamiętać, że Adobe Reader potrafi pobierać dokumenty stopniowo, doczytując zawartość w miarę otwierania dokumentu, bez zapisywania całości danych na dysk. Właśnie z tego powodu luki w bezpieczeństwie czytnika PDF mogą być tak niebezpieczne, gdyż tymczasowy plik wraz z pobieranym strumieniem danych nie zawsze jest skanowany w całości przez program antywirusowy. Wyłączenie integracji z przeglądarką sprawia, że użytkownik musi zapisywać plik na dysk lokalny (lub zasób sieciowy), co powoduje skanowanie pobranego pliku przez program antywirusowy. Minusem jest mniejsza wygoda pracy i konieczność otwierania osobnego okna.

Polityka bezpieczeństwa

Ponieważ pliki PDF były przez całe lata uznawane za bezpieczny nośnik informacji (znacznie bezpieczniejszy niż DOC czy PPT), wiele firm nie posiadało stosownych regulacji w polityce bezpieczeństwa. Wobec rosnącej ilości luk bezpieczeństwa w Adobe Reader, należy rozważyć stawianie dokumentów PDF na równi z plikami Microsoft Office pod kątem bezpieczeństwa danych firmowych.