क्रोम कहता है कि पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?

विषयसूची:

क्रोम कहता है कि पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?
क्रोम कहता है कि पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?

वीडियो: क्रोम कहता है कि पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?

वीडियो: क्रोम कहता है कि पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?
वीडियो: How to Disable Touch Screen in Windows 11 - YouTube 2024, नवंबर
Anonim
क्रोम अक्सर आपको चेतावनी देता है कि "इस प्रकार की फाइल आपके कंप्यूटर को नुकसान पहुंचा सकती है" जब आप कुछ डाउनलोड करने का प्रयास करते हैं, भले ही यह पीडीएफ फाइल हो। लेकिन पीडीएफ फाइल इतनी खतरनाक कैसे हो सकती है - क्या पीडीएफ सिर्फ पाठ और छवियों वाला दस्तावेज़ नहीं है?
क्रोम अक्सर आपको चेतावनी देता है कि "इस प्रकार की फाइल आपके कंप्यूटर को नुकसान पहुंचा सकती है" जब आप कुछ डाउनलोड करने का प्रयास करते हैं, भले ही यह पीडीएफ फाइल हो। लेकिन पीडीएफ फाइल इतनी खतरनाक कैसे हो सकती है - क्या पीडीएफ सिर्फ पाठ और छवियों वाला दस्तावेज़ नहीं है?

एडोब रीडर जैसे पीडीएफ पाठक वर्षों से कई सुरक्षा भेद्यता का स्रोत रहे हैं। ऐसा इसलिए है क्योंकि एक पीडीएफ फ़ाइल सिर्फ एक दस्तावेज़ नहीं है - इसमें स्क्रिप्ट, एम्बेडेड मीडिया और अन्य संदिग्ध चीजें हो सकती हैं।

पीडीएफ सिर्फ दस्तावेज नहीं हैं

पीडीएफ फाइल प्रारूप वास्तव में बहुत जटिल है। इसमें कई चीजें हो सकती हैं, केवल पाठ और छवियों के साथ, जैसा कि आप उम्मीद कर सकते हैं। पीडीएफ कई विशेषताओं का समर्थन करता है जो तर्कसंगत नहीं होना चाहिए, जिन्होंने अतीत में कई सुरक्षा छेद खोले हैं।

  • जावास्क्रिप्ट: पीडीएफ में जावास्क्रिप्ट कोड हो सकता है, जो आपके ब्राउज़र में वेब पेजों द्वारा उपयोग की जाने वाली वही भाषा है। पीडीएफ गतिशील और रन कोड हो सकता है जो पीडीएफ की सामग्री को संशोधित करता है या पीडीएफ व्यूअर की विशेषताओं में हेरफेर करता है। ऐतिहासिक रूप से, एडोब रीडर का शोषण करने के लिए जावास्क्रिप्ट कोड का उपयोग करके पीडीएफ द्वारा कई भेद्यताएं हुई हैं। एडोब रीडर के जावास्क्रिप्ट कार्यान्वयन में एडोब-विशिष्ट जावास्क्रिप्ट एपीआई भी शामिल हैं, जिनमें से कुछ असुरक्षित थे और इसका शोषण किया गया था।
  • एम्बेडेड फ्लैश: पीडीएफ में एम्बेडेड फ्लैश सामग्री हो सकती है। फ्लैश में किसी भी भेद्यता का उपयोग एडोब रीडर समझौता करने के लिए भी किया जा सकता है। 10 अप्रैल, 2012 तक, एडोब रीडर में अपना खुद का बंडल फ़्लैश प्लेयर था। मुख्य फ्लैश प्लेयर में तय की गई सुरक्षा त्रुटियों को एडोब रीडर के बंडल फ्लैश प्लेयर में हफ्तों तक तय नहीं किया जा सकता है, जिससे सुरक्षा छेद शोषण के लिए व्यापक रूप से खुला रहता है। एडोब रीडर अब एक आंतरिक प्लेयर की बजाय आपके सिस्टम पर स्थापित फ्लैश प्लेयर का उपयोग करता है।
  • क्रियाएं लॉन्च करें: पीडीएफ फाइलों में एक पुष्टिकरण विंडो पॉप अप करने के बाद किसी भी कमांड को लॉन्च करने की क्षमता थी। एडोब रीडर के पुराने संस्करणों में, एक पीडीएफ फाइल खतरनाक कमांड लॉन्च करने का प्रयास कर सकती है जब तक कि उपयोगकर्ता ठीक क्लिक करता है। एडोब रीडर में अब एक ब्लैकलिस्ट है जो निष्पादन योग्य फ़ाइलों को लॉन्च करने से पीडीएफ फाइलों को प्रतिबंधित करती है।
Image
Image
  • GoToE: पीडीएफ फाइलों में एम्बेडेड पीडीएफ फाइलें हो सकती हैं, जिन्हें एन्क्रिप्टेड किया जा सकता है। जब कोई उपयोगकर्ता मुख्य पीडीएफ फाइल लोड करता है, तो यह तुरंत अपनी एम्बेडेड पीडीएफ फ़ाइल लोड कर सकता है। यह हमलावरों को अन्य पीडीएफ फाइलों के अंदर दुर्भावनापूर्ण पीडीएफ फाइलों को छिपाने की अनुमति देता है, जो छिपी हुई पीडीएफ फाइल की जांच करने से उन्हें रोककर एंटीवायरस स्कैनर को बेवकूफ़ बनाते हैं।
  • एम्बेडेड मीडिया नियंत्रण: फ्लैश के अलावा, पीडीएफ ऐतिहासिक रूप से विंडोज मीडिया प्लेयर, रीयलप्लेयर और क्विकटाइम मीडिया को शामिल कर सकता है। यह पीडीएफ को इन एम्बेड करने योग्य मल्टीमीडिया प्लेयर नियंत्रणों में कमजोरियों का फायदा उठाने की अनुमति देगा।

पीडीएफ फाइल प्रारूप में कई और विशेषताएं हैं जो पीडीएफ के अंदर किसी भी फाइल को एम्बेड करने और 3 डी ग्राफिक्स का उपयोग करने की क्षमता सहित अपनी आक्रमण सतह को बढ़ाती हैं।

पीडीएफ सुरक्षा में सुधार हुआ है

अब आपको उम्मीद है कि क्यों एडोब रीडर और पीडीएफ फाइलें इतनी सुरक्षा भेद्यता का स्रोत रही हैं। पीडीएफ फाइलें साधारण दस्तावेजों की तरह लग सकती हैं, लेकिन धोखा नहीं है - सतह के नीचे और भी बहुत कुछ हो सकता है।

अच्छी खबर यह है कि पीडीएफ सुरक्षा में सुधार हुआ है। एडोब ने एडोब रीडर एक्स में "संरक्षित मोड" नामक एक सैंडबॉक्स जोड़ा। यह एक सीमित, लॉक डाउन वातावरण में पीडीएफ चलाता है जहां इसे केवल आपके कंप्यूटर के कुछ हिस्सों तक पहुंच है, न कि आपके पूरे ऑपरेटिंग सिस्टम। यह इसी तरह है कि क्रोम की सैंडबॉक्सिंग आपके शेष कंप्यूटर से वेब पेज प्रक्रियाओं को अलग करती है। यह हमलावरों के लिए और अधिक काम करता है। उन्हें सिर्फ पीडीएफ व्यूअर में सुरक्षा भेद्यता नहीं मिलनी पड़ेगी - उन्हें सुरक्षा भेद्यता को ढूंढना होगा और फिर सैंडबॉक्स से बचने के लिए सैंडबॉक्स में दूसरी सुरक्षा भेद्यता का उपयोग करना होगा और अपने बाकी कंप्यूटर को नुकसान पहुंचाएगा। ऐसा करना असंभव नहीं है, लेकिन सैंडबॉक्स पेश होने के बाद एडोब रीडर में बहुत कम सुरक्षा भेद्यता की खोज और शोषण किया गया है।

आप तीसरे पक्ष के पीडीएफ पाठकों का भी उपयोग कर सकते हैं, जो आमतौर पर हर पीडीएफ फीचर का समर्थन नहीं करते हैं। यह ऐसी दुनिया में एक आशीर्वाद हो सकता है जहां पीडीएफ में इतनी संदिग्ध विशेषताएं हों। क्रोम में एक एकीकृत पीडीएफ व्यूअर है जो इसके सैंडबॉक्स का उपयोग करता है, जबकि फ़ायरफ़ॉक्स का अपना एकीकृत पीडीएफ व्यूअर जावास्क्रिप्ट में पूरी तरह लिखा गया है, इसलिए यह उसी सुरक्षा वातावरण में चलता है जो एक सामान्य वेब पेज करता है।
आप तीसरे पक्ष के पीडीएफ पाठकों का भी उपयोग कर सकते हैं, जो आमतौर पर हर पीडीएफ फीचर का समर्थन नहीं करते हैं। यह ऐसी दुनिया में एक आशीर्वाद हो सकता है जहां पीडीएफ में इतनी संदिग्ध विशेषताएं हों। क्रोम में एक एकीकृत पीडीएफ व्यूअर है जो इसके सैंडबॉक्स का उपयोग करता है, जबकि फ़ायरफ़ॉक्स का अपना एकीकृत पीडीएफ व्यूअर जावास्क्रिप्ट में पूरी तरह लिखा गया है, इसलिए यह उसी सुरक्षा वातावरण में चलता है जो एक सामान्य वेब पेज करता है।
Image
Image

हालांकि हम सोच सकते हैं कि पीडीएफ वास्तव में इन सभी चीजों को करने में सक्षम होना चाहिए, पीडीएफ सुरक्षा में कम से कम सुधार हुआ है। जावा प्लग-इन के लिए हम यह कह सकते हैं कि यह भयानक है और वर्तमान में वेब पर प्राथमिक हमले वेक्टर है। यदि आपके पास जावा प्लग-इन इंस्टॉल है, तो क्रोम जावा सामग्री चलाने से पहले आपको चेतावनी देता है।

सिफारिश की: