Meglepetéseket okozhatnak a PDF-állományok

Ahogy azt már tavaly számos biztonsági cég előre jelezte, a PDF-formátumú állományok valamint az azok megtekintésére és létrehozására alkalmas szoftverek a számítógépes bűnözés figyelmének középpontjába kerültek. Az F-Secure nemrég közölte, hogy - 900 célzott támadás vizsgálata alapján szerzett - tapasztalatai szerint ez év első két hónapjában a kártékony dokumentumok révén elkövetett alvilági akciók 61 százalékának esetében az Adobe Reader különféle sérülékenységei is szerepet kaptak. Az elmúlt napokban azonban egy olyan gyenge pontra derült fény, amely egyrészt nemcsak a Reader szoftver esetében okozhat problémákat, másrészt semmiféle biztonsági rés nem szükséges a kihasználásához.

A belga biztonsági kutató, Didier Stevens számolt be elsőként arról a PDF-kezeléssel kapcsolatos felfedezéséről, amely meglehetősen komoly visszhangot váltott ki világszerte. A biztonsági hiba ugyanis ezúttal nem kifejezetten a PDF-ek megnyitására, illetve létrehozására alkalmas alkalmazásokban található, hanem magában a PDF-formátumban rejlő lehetőségekre vezethető vissza. Többek között ez is az oka annak, hogy az Adobe Reader és Acrobat mellett a Foxit Reader is érintett az eset kapcsán.

A biztonsági rendellenesség kihasználásával a támadók a felhasználók megtévesztését követően tetszőleges kódokat futtathatnak le az érintett számítógépeken. Ehhez mindössze azt kell elérniük, hogy a felhasználó megnyisson egy speciálisan összeállított PDF-dokumentumot. A támadók a PDF-állományban elhelyezhetnek olyan bejegyzéseket, amelyek a PDF-olvasót kódok lefuttatására utasítják. Amennyiben az Adobe érintett szoftverei egy ilyen fájlt töltenek be, akkor normális esetben figyelmeztetik a felhasználót, hogy a PDF-állomány futtatható kódot is tartalmaz. A Foxit Reader viszont - leszámítva a legújabb verziót - nem is értesít a kockázatokról. Didier Stevens azonban az Adobe alkalmazásának esetében - a PDF-specifikációban rejlő sajátosságok kihasználásával - elérte, hogy a figyelmeztető üzenetablakban megtévesztő szöveg jelenjen meg, és ezáltal a felhasználó ne foghasson gyanút az ártalmas kódok végrehajtása előtt. A szakember a kódfuttatásra figyelmeztető ablak szövegét többek között a következőre módosította: "Ahhoz, hogy meg tudja tekinteni ezt a titkosított PDF dokumentumot, kattintson a megnyitás gombra." Ha ezt a felhasználó megteszi, akkor tudtán kívül hagyja jóvá a rosszindulatú kódok betöltődését.

Az ilyen jellegű trükkök nem új keletűek a PDF-kezelők esetében, azonban eddig nem igen volt arra példa, hogy mindezeket úgy lehessen alkalmazni, hogy valamilyen szoftveres sérülékenység kihasználására ne kellett volna sort keríteni. Stevens úgy véli, hogy az Adobe a Reader frissítésével nem fogja tudni orvosolni a problémát. "Nem egy sérülékenységet használtam ki, hanem csak kreatívan kezeltem a PDF-specifikációban leírtakat."- mondta Stevens. Ennek a vélekedésnek azért ellentmond az a tény, hogy a Foxit Reader fejlesztői gyorsan reagáltak a rendellenességre, és már ki is adták azt a szoftververziót, amely megfelelő módon figyelmeztet a kódfuttatás előtt. Ezért a Foxit felhasználóknak mihamarabb célszerű elvégezniük a Foxit Reader 3.2.1.0401-es kiadásra való frissítését.

Az Adobe egyelőre nem közölte, hogy milyen lépéseket kíván tenni a hiba megszüntetése érdekében, és mikor ad ki javítást. Az azonban biztos, hogy április 13-án fog sor kerülni az Adobe Reader és Acrobat szoftverek menetrend szerinti, negyedéves frissítésére. Elképzelhető, hogy akkor e probléma megoldásához is elérhetővé válik egy patch.