29Aug
Chrome hoiatab sageli, kui proovite midagi alla laadida, isegi kui see on PDF-fail, hoiatab sageli, et seda tüüpi fail võib teie arvutit kahjustada. Kuid kuidas saab PDF-fail olla nii ohtlik - kas PDF-fail ei ole lihtsalt tekst ja pildid?
PDF-lugejad nagu Adobe Reader on aastate jooksul olnud paljudel turvaaukudel. Seda seetõttu, et PDF-fail ei ole ainult dokument - see võib sisaldada skripte, manustatud meediumit ja muid küsitavaid asju.
PDF-failid ei ole ainult dokumendid
PDF-failivorming on tegelikult väga keeruline. See võib sisaldada palju asju, mitte ainult teksti ja pilte, nagu võite eeldada. PDF toetab paljusid funktsioone, mida see kindlasti ei tohiks olla, mis on varem avanud mitmeid turvaauke.
- JavaScript : PDF-failid võivad sisaldada JavaScripti koodi, mis on teie brauseri veebilehtede jaoks sama keel. PDF-failid võivad olla dünaamilised ja käivitada koodi, mis muudab PDF-i sisu või manipuleerib PDF-vaataja funktsioone. Ajalooliselt on paljud tõrkeotsingud põhjustatud PDF-failidest, mis kasutavad Adobe Readeri kasutamiseks JavaScripti koodi. Adobe Readeri JavaScripti rakendus sisaldab ka Adobe spetsiaalseid JavaScripti API-sid, millest mõned olid ebakindlad ja mida on ära kasutatud.
- Embedded Flash : PDF-failid võivad sisaldada manustatud Flash-sisu. Mis tahes Flash-i haavatavust võib kasutada ka Adobe Readeri kompromissiks. Kuni 10. aprillini 2012 sisaldas Adobe Reader oma komplekti kuuluvat Flash Playerit. Põhilisse Flash-faili fikseeritud turvaprobleemid ei pruugi olla faile Adobe Readeri komplektis olevasse Flash-mängijasse fikseeritud nädalateks hiljem, jättes turvaaugud laialdaseks kasutamiseks. Adobe Reader kasutab nüüd teie arvutisse installitud Flash Playerit, mitte sisemist mängijat.
- käivitusmeetmed : PDF-faile oli võimalik käivitada mis tahes käsk pärast kinnituste akna avamist. Adobe Readeri vanemates versioonides võiks PDF-fail üritada käivitada ohtlik käsk seni, kuni kasutaja klõpsas OK.Adobe Reader sisaldab nüüd musta nimekirja, mis piirab käivitatavate failide käivitamisel PDF-faile.
- GoToE : PDF-failid võivad sisaldada sisseehitatud PDF-faile, mida saab krüpteerida. Kui kasutaja laadib peamise PDF-faili, võib see kohe oma varjatud PDF-faili koormata. See võimaldab ründajal varjata pahatahtlikke PDF-faile muude PDF-failide sees, viirustõrje skannerid petavad, kuna nad ei lase neil peidetud PDF-faili uurida.
- sisseehitatud meediumikontrollid : lisaks Flashile võivad PDF-id ajalooliselt sisaldada Windows Media Playerit, RealPlayerit ja QuickTime'i meediat. See võimaldaks PDF-l kasutada nende põimitavate multimeediapleieri juhtnuppude nõrku kohti.
PDF-failivormingus on veel palju funktsioone, mis suurendavad ründepinda, sealhulgas võimalust lisada mis tahes faili PDF-faili sisse ja kasutada 3D-graafikat.
PDF-i turvalisus on paranenud
Nüüd peaksite loodetavasti aru saama, miks Adobe Readeri ja PDF-failid on olnud nii palju turvavasid. PDF-failid võivad tunduda lihtsate dokumentidega, kuid neid ei tohi petta - pinna all võib toimuda palju rohkem.
Hea uudis on see, et PDF-turvalisus on paranenud. Adobe lisas Adobe Reader X-s kaitstud režiimi liidesega kaitstud režiimi. See käitab PDF-i piiratud lukustatud keskkonnas, kus tal on juurdepääs ainult teatud arvutiosadele, mitte kogu teie operatsioonisüsteemile. See sarnaneb sellele, kuidas Chrome'i liivakastid eraldavad veebisaidi ülejäänud arvutist. See loob ründajatele palju tööd. Nad ei pea lihtsalt PDF-vaataja turvalisuse haavatavust leidma - nad peavad leidma turvahaavatavuse ja seejärel kasutama liivakasti teist turvahaavatavust, et pääseda liivakastist ja kahjustada ülejäänud arvutit. Seda pole võimatu teha, kuid pärast liivakasti kasutuselevõttu on Adobe Readeris avastatud ja kasutusel palju vähem turvaaukusid.
Võite kasutada ka kolmanda osapoole PDF-lugejaid, mis üldiselt ei toeta kõiki PDF-funktsioone. See võib olla õnnistuseks maailmas, kus PDF sisaldab nii palju küsitavaid funktsioone. Chromeil on sisseehitatud PDF-vaataja, kes kasutab oma liivakasti, samas kui Firefoxil on oma integreeritud PDF-vaataja, mis on täielikult kirjutatud JavaScripti, nii et see töötab samas turvakeskkonnas, mis tavapärasel veebilehel.
Kuigi võime küsida, kas PDF-failid peaksid tõepoolest suutma neid kõiki asju teha, on PDF-turvalisus vähemalt paranenud. See on midagi enamat, kui võime öelda Java-plugina jaoks, mis on kohutav ja on praegu veebis peamine rünnaku vektor. Chrome hoiatab teid enne Java-sisu käivitamist, kui teil on Java-pistikprogramm olemas.