Adobe PDF standard obsahuje řadu bezpečnostních rizik a problémů, které doposud nebyly příliš známy. Upozornila na to Julia Wolf ze společnosti FireEye na Chaos Communication Congress v Berlíně (PDF prezentace).
PDF může obsahovat scanner, který se spustí v okamžiku tisku na síťové tiskárně. Tradiční antivirová řešení přitom PDF věnují jenom minimální pozornost a s ohledem na povahu “kontejneru” u PDF souborů je pro ně prozatím velmi obtížné zjistit, jestli konkrétní PDF neskrývá útočný kód. PDF soubory je navíc možné vytvořit tak, aby poskytovaly rozdílný obsah v závislost na tom, ve kterém prohlížeči, operačním systém či jazyovém nastavení jsou otevřeny.
Součástí PDF standardu je podle Julie Wolf příliš mnoho funkčnosti – připojení k databázím, možnost spouštění programů, podpora JavaScriptu, XML, RFID či DRM technologie. Nebezpečná je i možnost, že do PDF lze vložit Flash, audio i video soubory. Škodlivý kód je v PDF možné navíc schovávat na řadě míst – v dokumentu samotném, v metadatech.
Adobe plánuje nedostatky aktuálního PDF řešit v desáté verzi. Ta by měla obsahovat klasický “sandbox” mechanismus, který umožní spouštět kód v odděleném bezpečném režimu.
Více k tématu najdete například v PDF Security Issues.