Pdf on tikittävä aikapommi koneellasi
4
Pdf-tiedostojen käyttöön liittyvät vaarat tulivat taas kerran esiin, kun niiden lukemiseen tarkoitetusta Foxit Readerista paikattiin vakava haavoittuvuus. Tietoturvatutkijoiden mukaan pdf-tiedostoja voi käyttää hyökkäyksiin. Foxitin turvapaikalla torjutaan juuri tätä uhkaa. Markkinajohtajan Acrobat Readerin valmistajan Adoben mukaan riskiin ei voi puuttua, koska se on pdf-spesifikaatioissa määritelty ominaisuus.
Turvatutkijoiden huolestuttavista havainnoista on kertonut ainakin News.com-uutispalvelu. Toinen asiaa pöydälle nostaneista tutkijoista on Nitrosecurityn tuotepäällikkö Jeremy Conway, joka esittelee ongelmaa kahdessa blogimerkinnässään (1 ja 2).
Pulmat liittyvät siihen, että pdf-tiedostoihin voi upottaa ohjelmia, jotka ajetaan automaattisesti. Tätä pyritään estämään Foxit Readerin uusimmalla turvapäivityksellä.
Yleensä käyttäjältä pitäisi kysyä lupaa ohjelmien ajamiseen, mutta ainakaan päivittämätön Foxit ei kysele mitään.
Riittävätkö varoitukset?
Jeremy Conway on esittänyt, että yhdellä saastutetulla pdf-tiedostolla pystyy saastuttamaan edelleen kaikki koneella olevat pdf-tiedostot. Hänen mukaansa hyökkääjä pystyy lisäksi muuttamaan pdf-lukuohjelman viestiä, jolla lupaa ohjelman ajamiseen kysytään. Näin pahaa-aavistamaton käyttäjä saattaa antaa luvan aivan muuhun kuin luulee.
News.com on saanut Adoben edustajalta kommentin, jossa nyt esillä oleva turvariski luokitellaan pdf-määritelmään kuuluvaksi ominaisuudeksi, jonka on tarkoitus antaa osaavalle käyttäjälle keinot käyttää tiedostomuotoa monipuolisesti. Adobe uskoo Acrobatiensa selkeäsanaisten varoitusten riittävän haittojen torjumiseksi. Sitähän ne eivät kyllä tee, jos hyökkääjä pystyy vaihtamaan varoitustekstit.
Foxitin edustaja toteaa kommentissaan, että sovellusten ajaminen pdf-tiedostoista on suurimmalle osalle ihmisistä täysin turha ominaisuus. Yhtenä lääkkeenä hän pohtii ominaisuuksiltaan rajoitetun lukuohjelman tekemistä, joka ei salli koodin ajamista.
