Kétségtelen, hogy a PDF-állományokkal, illetve az azokat kezelő alkalmazásokkal kapcsolatba hozható biztonsági incidensek száma az utóbbi időszakokban jelentősen megugrott. Szinte nem telik el úgy hét, hogy valamilyen jelentősebb PDF rendellenességre, exploitra, kártékony kódra ne derülne fény. A McAfee szerint 2010 első negyedévében a PDF exploitok mennyisége 65 százalékkal növekedett 2009-hez képest. Az Adobe a problémák egyre intenzívebb burjánzása óta folyamatosan igyekszik megfelelni a biztonsági elvárásoknak, azonban a frissítésekkel nem mindig tudja időben kezelni a sebezhetőségeket. Ezért a cég olyan megoldás után nézett, amely akkor is védelmet biztosít, ha egy sérülékenység kihasználására sor kerül a Reader alkalmazásban.
Azt már korábban lehetett tudni, hogy az Adobe különféle sandbox technológiák fejlesztésével is el kezdett foglalkozni. Brad Arkin, az Adobe biztonsági igazgatója azonban immár hivatalosan is bejelentette, hogy a Reader 10-es verziója rendelkezni fog ezekkel a technikákkal. A sandbox korántsem nevezethető forradalmi újdonságnak, hiszen számos alkalmazásban kapott már eddig is helyet. Többek között a Google Chrome böngészőből sem hiányzik. A sandbox célja, hogy egy-egy alkalmazás kódjait, folyamatát, illetve az általa elvégzett tevékenységeket egy elkülönített területen lehessen végrehajtani a rendszer egyéb összetevőinek védelme érdekében. A Readerbe először bekerülő sandbox megoldás írásvédelmet fog biztosítani a rendszerek felé. A tervek szerint a következő verziók további szigorításokat fognak érvénybe léptetni annak érdekében, hogy a bizalmas adatok esetleges kiszivárgásával járó problémákat is meg lehessen előzni.
Korábban már több biztonsági szakértő jelezte, hogy a Reader sandbox technológiákkal való felvértezése jó ötlet az Adobe-tól, hiszen ezáltal a különféle sérülékenységek kockázata jelentősen csökkenthetővé válik. "A sandbox révén azok, akik egy kártékony PDF-állományt tekintenek meg, azt fogják tapasztalni, hogy a hiba kihasználásához szükséges kód a sandbox-on belül marad. Habár ettől még a támadásoknak lesz kockázata, a támadóknak mindenképpen szükségük lesz egy olyan exploitra is, amely képes a rosszindulatú kódokat a sandbox határain kívülre eljuttatni." - vélekedett Arkin. A szakember azt nyilvánvalóan nem tudta garantálni, hogy az új technika nem lesz sérülékeny, de szerinte, amire megjelenik, addigra sziklaszilárddá válik. Az Adobe ezúttal is alkalmazza a múlt évben bevezetett Secure Product Lifecycle (SPLC) fejlesztési gyakorlatát, amely számos biztonsági lépést, óvintézkedést követel meg például a programozóktól annak érdekében, hogy a sebezhetőségek minél nagyobb valószínűséggel legyenek kiküszöbölhetők.
Brad Arkin elmondta, hogy a sandbox technológia a Reader 10-ben lesz majd először elérhető, ami a jelenlegi tervek szerint még az év vége előtt letölthetővé válik. Ennél konkrétabb megjelenési dátumot az Adobe egyelőre nem kívánt elárulni.
A cikk a Computerworld biztonság rovatában jelent meg.
