PDF-documenten vormen een beveiligingsrisico. Adobe heeft al wel een patch uitgebracht voor een gat in zijn gratis PDF Reader, maar security-experts zijn bezorgd.
Adobe heeft patches uitgebracht voor zijn PDF Reader-, Flash- en Acrobat-software. Die programma’s hebben een beveiligingsgat waardoor een speciaal aangemaakt PDF-document kwaadwillenden toegang kan geven tot pc’s. Deze inbraakmethode gebruikt JavaScript in de PDF (portable document format) en geeft de cracker dan dezelfde rechten als die waarmee de gebruiker is ingelogd.
Beveiligingsbedrijf Core Security Technologies heeft dit ernstige beveiligingslek ontdekt. Pc-gebruikers hoeven alleen maar een ‘besmet’ PDF-document te openen en hun computers zijn dan te kapen. De Amerikaanse leverancier van security-testsoftware heeft Adobe gelijk gewaarschuwd. De twee bedrijven hebben daarna de nu verschenen patches ontwikkeld.
Applicaties vaker doelwit
"De flinke complexiteit van de meeste veelgebruikte clientside-applicaties, zoals ook Adobe Reader, zorgt voor een breed vlak van potentiële zwakke plekken", verklaart Core-cto Ivan Arce. Microsoft waarschuwt ook al dat crackers het steeds vaker gemunt hebben op veelgebruikte applicaties in plaats van op het onderliggende besturingssysteem.
"In dit geval zorgt het gebruik van een volledige JavaScript-engine in de Adobe-software voor dezelfde implementatiebugs als in hele geavanceerde applicaties", aldus Arce. Hij merkt op dat deze bug bij toeval is ontdekt. De experts van Core onderzochten een fout die al eerder was ontdekt en onthuld, en die betrekking had op een andere applicatie voor het lezen van PDF-bestanden. Dat is de gratis Foxit Reader. De marktdominante PDF Reader van Adobe blijkt een grotendeels gelijke implementatie – inclusief fouten dus – van PDF en JavaScript te hebben als die alternatieve software.
Bijblijven
Het beveiligingsgat is overigens niet aanwezig in de meest recente versie 9 van de Adobe Reader. Veel bedrijven nemen het updaten van eenvoudig geachte clientapplicaties als een PDF-lezer niet mee in regelmatige update-procedures. Gebruikers van oudere Reader-versies kunnen JavaScript uitschakelen via de Voorkeuren van die applicatie. Dit kan echter bepaalde, wel gewenste functionaliteit weer saboteren.