एडोब रीडर जैसे पीडीएफ पाठक वर्षों से कई सुरक्षा भेद्यता का स्रोत रहे हैं। ऐसा इसलिए है क्योंकि एक पीडीएफ फ़ाइल सिर्फ एक दस्तावेज़ नहीं है - इसमें स्क्रिप्ट, एम्बेडेड मीडिया और अन्य संदिग्ध चीजें हो सकती हैं।
पीडीएफ सिर्फ दस्तावेज नहीं हैं
पीडीएफ फाइल प्रारूप वास्तव में बहुत जटिल है। इसमें कई चीजें हो सकती हैं, केवल पाठ और छवियों के साथ, जैसा कि आप उम्मीद कर सकते हैं। पीडीएफ कई विशेषताओं का समर्थन करता है जो तर्कसंगत नहीं होना चाहिए, जिन्होंने अतीत में कई सुरक्षा छेद खोले हैं।
- जावास्क्रिप्ट: पीडीएफ में जावास्क्रिप्ट कोड हो सकता है, जो आपके ब्राउज़र में वेब पेजों द्वारा उपयोग की जाने वाली वही भाषा है। पीडीएफ गतिशील और रन कोड हो सकता है जो पीडीएफ की सामग्री को संशोधित करता है या पीडीएफ व्यूअर की विशेषताओं में हेरफेर करता है। ऐतिहासिक रूप से, एडोब रीडर का शोषण करने के लिए जावास्क्रिप्ट कोड का उपयोग करके पीडीएफ द्वारा कई भेद्यताएं हुई हैं। एडोब रीडर के जावास्क्रिप्ट कार्यान्वयन में एडोब-विशिष्ट जावास्क्रिप्ट एपीआई भी शामिल हैं, जिनमें से कुछ असुरक्षित थे और इसका शोषण किया गया था।
- एम्बेडेड फ्लैश: पीडीएफ में एम्बेडेड फ्लैश सामग्री हो सकती है। फ्लैश में किसी भी भेद्यता का उपयोग एडोब रीडर समझौता करने के लिए भी किया जा सकता है। 10 अप्रैल, 2012 तक, एडोब रीडर में अपना खुद का बंडल फ़्लैश प्लेयर था। मुख्य फ्लैश प्लेयर में तय की गई सुरक्षा त्रुटियों को एडोब रीडर के बंडल फ्लैश प्लेयर में हफ्तों तक तय नहीं किया जा सकता है, जिससे सुरक्षा छेद शोषण के लिए व्यापक रूप से खुला रहता है। एडोब रीडर अब एक आंतरिक प्लेयर की बजाय आपके सिस्टम पर स्थापित फ्लैश प्लेयर का उपयोग करता है।
- क्रियाएं लॉन्च करें: पीडीएफ फाइलों में एक पुष्टिकरण विंडो पॉप अप करने के बाद किसी भी कमांड को लॉन्च करने की क्षमता थी। एडोब रीडर के पुराने संस्करणों में, एक पीडीएफ फाइल खतरनाक कमांड लॉन्च करने का प्रयास कर सकती है जब तक कि उपयोगकर्ता ठीक क्लिक करता है। एडोब रीडर में अब एक ब्लैकलिस्ट है जो निष्पादन योग्य फ़ाइलों को लॉन्च करने से पीडीएफ फाइलों को प्रतिबंधित करती है।
- GoToE: पीडीएफ फाइलों में एम्बेडेड पीडीएफ फाइलें हो सकती हैं, जिन्हें एन्क्रिप्टेड किया जा सकता है। जब कोई उपयोगकर्ता मुख्य पीडीएफ फाइल लोड करता है, तो यह तुरंत अपनी एम्बेडेड पीडीएफ फ़ाइल लोड कर सकता है। यह हमलावरों को अन्य पीडीएफ फाइलों के अंदर दुर्भावनापूर्ण पीडीएफ फाइलों को छिपाने की अनुमति देता है, जो छिपी हुई पीडीएफ फाइल की जांच करने से उन्हें रोककर एंटीवायरस स्कैनर को बेवकूफ़ बनाते हैं।
- एम्बेडेड मीडिया नियंत्रण: फ्लैश के अलावा, पीडीएफ ऐतिहासिक रूप से विंडोज मीडिया प्लेयर, रीयलप्लेयर और क्विकटाइम मीडिया को शामिल कर सकता है। यह पीडीएफ को इन एम्बेड करने योग्य मल्टीमीडिया प्लेयर नियंत्रणों में कमजोरियों का फायदा उठाने की अनुमति देगा।
पीडीएफ फाइल प्रारूप में कई और विशेषताएं हैं जो पीडीएफ के अंदर किसी भी फाइल को एम्बेड करने और 3 डी ग्राफिक्स का उपयोग करने की क्षमता सहित अपनी आक्रमण सतह को बढ़ाती हैं।
पीडीएफ सुरक्षा में सुधार हुआ है
अब आपको उम्मीद है कि क्यों एडोब रीडर और पीडीएफ फाइलें इतनी सुरक्षा भेद्यता का स्रोत रही हैं। पीडीएफ फाइलें साधारण दस्तावेजों की तरह लग सकती हैं, लेकिन धोखा नहीं है - सतह के नीचे और भी बहुत कुछ हो सकता है।
अच्छी खबर यह है कि पीडीएफ सुरक्षा में सुधार हुआ है। एडोब ने एडोब रीडर एक्स में "संरक्षित मोड" नामक एक सैंडबॉक्स जोड़ा। यह एक सीमित, लॉक डाउन वातावरण में पीडीएफ चलाता है जहां इसे केवल आपके कंप्यूटर के कुछ हिस्सों तक पहुंच है, न कि आपके पूरे ऑपरेटिंग सिस्टम। यह इसी तरह है कि क्रोम की सैंडबॉक्सिंग आपके शेष कंप्यूटर से वेब पेज प्रक्रियाओं को अलग करती है। यह हमलावरों के लिए और अधिक काम करता है। उन्हें सिर्फ पीडीएफ व्यूअर में सुरक्षा भेद्यता नहीं मिलनी पड़ेगी - उन्हें सुरक्षा भेद्यता को ढूंढना होगा और फिर सैंडबॉक्स से बचने के लिए सैंडबॉक्स में दूसरी सुरक्षा भेद्यता का उपयोग करना होगा और अपने बाकी कंप्यूटर को नुकसान पहुंचाएगा। ऐसा करना असंभव नहीं है, लेकिन सैंडबॉक्स पेश होने के बाद एडोब रीडर में बहुत कम सुरक्षा भेद्यता की खोज और शोषण किया गया है।
हालांकि हम सोच सकते हैं कि पीडीएफ वास्तव में इन सभी चीजों को करने में सक्षम होना चाहिए, पीडीएफ सुरक्षा में कम से कम सुधार हुआ है। जावा प्लग-इन के लिए हम यह कह सकते हैं कि यह भयानक है और वर्तमान में वेब पर प्राथमिक हमले वेक्टर है। यदि आपके पास जावा प्लग-इन इंस्टॉल है, तो क्रोम जावा सामग्री चलाने से पहले आपको चेतावनी देता है।