Komoly veszélyt hordoz a PDF

A múlt héten már beszámoltunk arról, hogy egy belga kutató egy olyan PDF-kezelési rendellenességet leplezett le, amely meglehetősen egyszerű módszerek bevetésével elősegítheti kártékony kódok PDF-dokumentumokból kezdeményezett futtatását. Mivel nem kifejezetten szoftveres sérülékenységről van szó, ezért az az Adobe Reader és Acrobat alkalmazásai mellett a Foxit szoftvereit is érinti. A Foxit fejlesztői azonban már reagáltak a hibára, és a Foxit Reader frissítésével orvosolták a problémát. Az Adobe szakemberei még dolgoznak egy olyan megoldáson, amely nem csökkenti a PDF-kezelő szoftverek eddig megszokott funkcionalitását, ugyanakkor képes megóvni a jogosulatlan kódfuttatástól.

A biztonsági rendellenesség kihasználásával a támadók a felhasználók megtévesztését követően tetszőleges kódokat futtathatnak le az érintett számítógépeken. Ehhez mindössze azt kell elérniük, hogy a felhasználó megnyisson egy speciálisan összeállított PDF-dokumentumot. A támadók a PDF-állományban elhelyezhetnek olyan bejegyzéseket, amelyek a PDF-olvasót kódok lefuttatására utasítják. Amennyiben az Adobe érintett szoftverei egy ilyen fájlt töltenek be, akkor normális esetben figyelmeztetik a felhasználót, hogy a PDF-állomány futtatható kódot is tartalmaz. A biztonsági hiba kihasználásával azonban pont ennek a figyelmeztető üzenetnek a szövege változtatható meg anélkül, hogy ehhez bármilyen szoftveres sérülékenységet ki kellene használni, vagy speciális kódot kellene beépíteni a dokumentumokba. A belga kutató, Didier Stevens például a következő üzenetet állította össze a hiba bemutatására szánt dokumentumához: "Ahhoz, hogy meg tudja tekinteni ezt a titkosított PDF dokumentumot, kattintson a megnyitás gombra." Ha ennek a felhasználó eleget tesz, akkor tudtán kívül hagyja jóvá a rosszindulatú kódok betöltődését.

Mickey Boodaei, a Trusteer elnök-vezérigazgatója is szemügyre vette a problémát, és megállapította, hogy a Didier Stevens által közzétett információk alapján valóban könnyedén lehet reprodukálni a támadásokat, és módosítani a Reader, illetve az Acrobat figyelmeztető üzeneteit. A szakember azt feltételezi, hogy mindezt a támadók is ki fogják használni, ha egyáltalán ezt eddig még nem tették meg. A számítógépes bűnözők megtévesztő üzeneteket szerkeszthetnek, majd ezek segítségével elérhetik, hogy a felhasználó saját maga engedélyezze a kártékony kódok futtatását.

Boodaei szerint az Adobe-nak nagyon gyorsan kellene reagálnia a biztonsági problémára. Azonban azt is elismerte, hogy egy új verzió vagy frissítés kiadása előtt alapos tesztelésre is szükség lesz annak érdekében, hogy a meglévő funkcionalitások sértetlensége ellenőrizhető legyen.

Az Adobe elismerte a hiba létezését, és jelenleg is dolgozik a probléma orvoslásán. A cég a Reader és az Acrobat szoftvereihez kedden adja ki a szokásos, negyedéves frissítéseit, azonban Brad Arkin, az Adobe termékbiztonságért felelős igazgatója közölte, hogy a mostani hibajavítások még nem fogják megoldani a Stevens féle problémát. A cég egyelőre azt javasolja a felhasználóknak, hogy az érintett szoftverek beállításaiban tiltsák le a nem PDF formátumú állományok megnyitását. Ez a beállítás alapértelmezetten engedélyezett a Reader és az Acrobat alkalmazásokban. A fájlfuttatás a következők szerint elérhető jelölőnégyzet segítségével tiltható le:

Magyar verzió esetében:
Szerkesztés->Beállítások -> Megbízhatóságkezelő -> "Nem PDF fájlcsatolmányok külső alkalmazással történő megnyitásának engedélyezése"

Angol verzió esetében:
Edit -> Preferences...->Trust Manager->"Allow opening of non-PDF file attachments with external applications"

A hír a Computerworld biztonság rovatában jelent meg.