※管理人註 : プロブレマティック(Problematic)=問題のある、問題の多い
セキュリティが貧弱であるとして、AdobeのPDF Readerが多くの批判を受けている。しかし、問題は特定のPDFリーダー・ブランドだけのものではない。
皆さんはPDFファイル・フォーマットの仕様書をご覧になったことがあるだろうか? ここからダウンロードできる(PDF)が、756ページもある。いや、本当に。
PDFのスペックには、おかしなものがいくつかある。
以下を見て欲しい
ムービーや歌を埋め込むことができる。PDFファイルに。ええっ?
PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?
PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか?
PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?
このようなスペックを持っているのだから、Adobe Readerを立ち上げ、すべてのプラグインをロードするのに時間がかかるのも無理はない。
一般のPDFリーダーに通常セキュリティ問題があるのも不思議ではない。
最高の例は、Didier Stevensのブログに掲載されている「Escape from PDF」デモだ。
「Foxit Reader」のユーザーは、DidierのデモPDFファイルを開いてみよう。開いた後、ファイルはシステム上でCMD.EXEを実行するだろう。何の質問も無く。そしてこれは、エクスプロイトを使用していない正当なPDFファイルなのだ。
リスクを軽減する一つの方法は、Webから自分のマシンにPDFファイルを一切ダウンロードしないことだ。ローカル・マシンでファイルを開く代わりに、Google Docsのようなビューワでリモートに開くことができる。このプロセスはgPDF(Chrome/Opera/Firefox/Iron用)のようなプラグインを使用すれば、完全に自動化することができる。注意して欲しいのは、これは皆さんがパブリックWebでアクセスするPDFファイルでのみ通用するという点だ。
さもなければ、できる限り一般的でないPDFリーダーを使用することを推奨する。ユーザーが少ない製品ほど、攻撃されることも少ないのだから。
セキュリティが貧弱であるとして、AdobeのPDF Readerが多くの批判を受けている。しかし、問題は特定のPDFリーダー・ブランドだけのものではない。
皆さんはPDFファイル・フォーマットの仕様書をご覧になったことがあるだろうか? ここからダウンロードできる(PDF)が、756ページもある。いや、本当に。
PDFのスペックには、おかしなものがいくつかある。
以下を見て欲しい
ムービーや歌を埋め込むことができる。PDFファイルに。ええっ?
PDFファイルは3Dオブジェクトを含むことができ、Embedded JavaScriptを完備? こんなことを誰が思いつくだろう?
PDFはフォームを持つことができる。それは良い。しかし、このようなフォームが我々の入力したデータを、ネット上のどこかにあるサーバへ直接サブミットできる機能が、どうして必要なのだろうか?
PDFスペック内には、実行ファイルをローンチする機能がある。あるいはJavaScriptを動作させる機能が。これらの機能は必要だろうか?
このようなスペックを持っているのだから、Adobe Readerを立ち上げ、すべてのプラグインをロードするのに時間がかかるのも無理はない。
一般のPDFリーダーに通常セキュリティ問題があるのも不思議ではない。
最高の例は、Didier Stevensのブログに掲載されている「Escape from PDF」デモだ。
「Foxit Reader」のユーザーは、DidierのデモPDFファイルを開いてみよう。開いた後、ファイルはシステム上でCMD.EXEを実行するだろう。何の質問も無く。そしてこれは、エクスプロイトを使用していない正当なPDFファイルなのだ。
リスクを軽減する一つの方法は、Webから自分のマシンにPDFファイルを一切ダウンロードしないことだ。ローカル・マシンでファイルを開く代わりに、Google Docsのようなビューワでリモートに開くことができる。このプロセスはgPDF(Chrome/Opera/Firefox/Iron用)のようなプラグインを使用すれば、完全に自動化することができる。注意して欲しいのは、これは皆さんがパブリックWebでアクセスするPDFファイルでのみ通用するという点だ。
さもなければ、できる限り一般的でないPDFリーダーを使用することを推奨する。ユーザーが少ない製品ほど、攻撃されることも少ないのだから。