Czarne chmury nad PDF

Na konferencji 27th Chaos Communication Congress (27C3) w Berlinie opublikowano informacje na temat problemów z bezpieczeństwem plików PDF. Zaprezentowano także istotne podatności związane ze standardem.

Julia Wolf, badaczka zajmująca się bezpieczeństwem, współpracująca z firmą FireEye, opublikowała na konferencji Chaos Communication Congress informacje o wielu lukach związanych ze standardem PDF. Chociaż sam format oraz najpopularniejszy jego czytnik - oprogramowanie Adobe Reader - ma już bogatą historię problemów z bezpieczeństwem, wyniki badań dowodzą, że jeszcze wiele niespodzianek czeka na odkrycie.

Standard PDF zawiera wiele możliwości związanych z dodatkową aktywną zawartością. Może mieć sieciowy skaner z bazą danych, który zostaje uruchomiony w momencie wydruku dokumentu na sieciowej drukarce. Julia Wolf uważa, że w obrębie standardu znajduje się miejsce także na niespodziewane zachowanie samego dokumentu - można opracować plik PDF, który będzie wyświetlał różną treść, zależnie od wykorzystywanego systemu operacyjnego, przeglądarki lub czytnika PDF, a nawet zależnie od ustawień lokalizacji, takich jak język.

Zdaniem badaczki, problem ze standardem PDF polega na tym, że ma on zbyt wiele fukcji, które można wykorzystać do przełamania zabezpieczeń. Funkcje te obejmują między innymi połączenia z bazami danych bez żadnych mechanizmów zabezpieczających, możliwość nienadzorowanego przez użytkownika uruchomienia dowolnego programu podczas przeglądania pliku w programie Adobe Reader. Firma Adobe określa PDF jako format kontenerowy, który może przechowywać różną zawartość. Niebezpieczeństwo związane z tą zawartością pochodzi głównie stąd, że wykorzystywane są przy tym potencjalnie niebezpieczne języki, takie jak JavaScript, formaty takie jak XML, tagi RFID, a także narzędzia cyfrowego zarządzania dostępem do treści (Digital Rights Management). Ponadto format ten może także zawierać animacje Flash, które same w sobie mogą zawierać wiele złośliwego kodu, przy czym osadzenie ich bardzo utrudnia analizę za pomocą oprogramowania antywirusowego. Plik PDF może zawierać zawartość umieszczoną w taki sposób, że analiza przez oprogramowanie antywirusowe jest trudna, dotyczy to nie tylko kodu Flash, ale także plików audio czy wideo. Zatem znacznie łatwiej wykorzystać lukę w bezpieczeństwie kodeka w ten sposób, że plik z odpowiednio przygotowanym filmem lub dźwiękiem zostanie osadzony wewnątrz dokumentu PDF niż przy bezpośrednim podstawieniu pliku do odtwarzacza.

Gdzie schować złośliwy kod

Uruchomienie dowolnego programu za pomocą poleceń JavaScript i odpowiednich opcji standardu PDF jest możliwe już od dawna i zagrożenie z tym związane opisywaliśmy na łamach magazynu Computerworld. Jak dotąd rzadkością była możliwość przechowania dowolnego kodu, najpopularniejsze ataki polegały na zapisaniu pliku, a następnie przekazaniu sterowania do niego. Ze względu na konieczność nadania atrybutu wykonywalności w systemach typu UNIX proces zarażenia systemów takich jak Linux czy MacOS X był o wiele trudniejszy, jednak teoretycznie możliwy.