Odkrita huda varnostna pomanjkljivost standarda PDF

Didier Stevens, specialist informacijske varnosti in razvijalec namenske programske opreme za analizo dokumentov formata PDF, je v standardu PDF odkril nevarno varnostno pomanjkljivost, ki je hkrati tudi ena izmed temeljnih funkcionalnosti priljubljenega standarda podjetja Adobe. Nevarna varnostna pomanjkljivost omogoča nepridipravom zagon škodljive programske kode, vgrajene v dokumentih PDF in to tudi v primeru, ko ne gre za dejansko varnostno ranljivost programa ali sistema.

Didier Stevens je za predstavitvene namene že pripravil dokument PDF, preko katerega lahko v Microsoftovih operacijskih sistemih Windows brez večjih težav zaženemo program CMD. Čeprav program Adobe Reader uporabnika opozori o nevarnostih zagona prirejene datoteke PDF, se lahko vsebino sporočila preoblikuje na način, da računalničar brez večjih težav potrdi opozorilo.

Kolikor pa uporabnik uporablja programsko opremo Foxit Reader, se škodljiva programska koda lahko zažene povsem samodejno. Ker je specialist informacijske varnosti Didier Stevens varnostno pomanjkljivost dokumentov PDF že uspešno »izrabil« za izvedbo napadov na Microsoftova operacijska sistema Windows XP SP3 in Windows 7, je o tem obvestil tudi odgovorne podjetja Adobe.

Tu pa je zaskrbljujoče dejstvo predvsem to, da vse več spletnih kriminalcev za izvajanje napadov uporablja dokumente PDF. Zato sploh ne preseneča, da je Mikko Hypponen, vodilni raziskovalec podjetja F-Secure, uporabnikom pred časom svetoval, da naj ne uporabljajo programa Adobe Reader.