Příliš univerzální PDF přináší bezpečnostní rizika

Adobe PDF standard obsahuje řadu bezpečnostních rizik a problémů, které doposud nebyly příliš známy. Upozornila na to Julia Wolf ze společnosti FireEye na Chaos Communication Congress v Berlíně (PDF prezentace).

PDF může obsahovat scanner, který se spustí v okamžiku tisku na síťové tiskárně. Tradiční antivirová řešení přitom PDF věnují jenom minimální pozornost a s ohledem na povahu „kontejneru“ u PDF souborů je pro ně prozatím velmi obtížné zjistit, jestli konkrétní PDF neskrývá útočný kód. PDF soubory je navíc možné vytvořit tak, aby poskytovaly rozdílný obsah v závislost na tom, ve kterém prohlížeči, operačním systém či jazyovém nastavení jsou otevřeny.

Součástí PDF standardu je podle Julie Wolf příliš mnoho funkčnosti – připojení k databázím, možnost spouštění programů, podpora JavaScriptu, XML, RFID či DRM technologie. Nebezpečná je i možnost, že do PDF lze vložit Flash, audio i video soubory. Škodlivý kód je v PDF možné navíc schovávat na řadě míst – v dokumentu samotném, v metadatech.

Adobe plánuje nedostatky aktuálního PDF řešit v desáté verzi. Ta by měla obsahovat klasický „sandbox“ mechanismus, který umožní spouštět kód v odděleném bezpečném režimu.

Více k tématu najdete například v PDF Security Issues.

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google photo

Komentujete pomocí vašeho Google účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s