Локальный просмотр PDF – фундаментальная угроза безопасности // 17 Ноября 2012

Специалисты по сетевой безопасности обнаружили и продемонстрировали фундаментальную угрозу, скрытую в механизмах просмотра файлов PDF на компьютере. Автор открытия – Дидье Стивенс (Didier Stevens) создал специальный тестовый документ PDF, который позволяет запускать на компьютере пользователя произвольный код или команды, скрытые внутри документа. Важно заметить, что эта угроза касается не только многострадальной фирменной утилиты Adobe Reader, но и другой популярной программы для просмотра PDF – Foxit Reader.

Прием Стивенса для запуска произвольного кода не использует ни одну из известных или новых уязвимостей – используются только стандартные возможности, зафиксированные в стандарте PDF. Единственным препятствием, мешающим запустить скрытый код сразу же, является всплывающее на экране предупреждение, но Стивенс показал, что с помощью небольших манипуляций можно замаскировать это предупреждение и убедить пользователя нажать кнопку запуска.

За время своего развития формат PDF стал практически универсальным контейнером для реализации самых разных функций. Кроме текста и картинок, в файлах PDF можно показывать видеоролики, проигрывать музыку, заполнять и отправлять на сервер веб-формы, а также выполнять сценарии на языке JavaScript. Сам Стивенс подчеркивает, что популярная утилита Foxit может быть еще опаснее, чем Adobe Reader, поскольку не выдает никаких предупреждений перед запуском кода. Тем не менее, на данный момент Стивенсу не удалось запустить свой код в Foxit Reader, возможно, для этого потребуются дополнительные усилия.

Известный эксперт по сетевой безопасности Микко Хиппонен (Mikko Hypponen) из авторитетной компании F-Secure поспешил прокомментировать сообщение Стивенса. Хиппонен, который прежде ратовал за использование альтернативных программ для просмотра PDF – Foxit Reader, Sumatra, PDF X-Change и др. – теперь выступает за просмотр PDF-файлов только через веб-приложения. Одним из способов навсегда забыть об интегрированной стандартной способности PDF-документов запускать произвольный код Хиппонен считает просмотр документов из веб-хранилищ с использованием плагинов к браузеру, таких как gPDF.

Есть и еще один способ избежать угрозы, скрытой в файлах PDF использование альтернативных платформ. Пока произвольный код можно запустить только через интерпретатор командной строки Windows – CMD.EXE. Поскольку этот интерпретатор используется только в Windows, в системах Linux и Mac OS на данный момент нельзя использовать обнаруженную Стивенсом угрозу.

Подробнее о фундаментальной угрозе, связанной с возможностью запуска произвольного кода из файлов PDF стандартными средствами внутри программы просмотра, можно прочитать в обзорах на сайтах DownloadSquad и The Register.