Tại sao Chrome nói tệp PDF có thể gây hại cho máy tính của bạn?
Chrome thường cảnh báo cho bạn Loại tệp này có thể gây hại cho máy tính của bạn khi bạn cố tải xuống một cái gì đó, ngay cả khi đó là tệp PDF. Nhưng làm thế nào một tệp PDF có thể nguy hiểm như vậy - không phải là PDF chỉ là một tài liệu có văn bản và hình ảnh?
Các trình đọc PDF như Adobe Reader đã là nguồn gốc của nhiều lỗ hổng bảo mật trong những năm qua. Điều này là do một tệp PDF không chỉ là một tài liệu - nó có thể chứa các tập lệnh, phương tiện được nhúng và những thứ đáng ngờ khác.
PDF không chỉ là tài liệu
Định dạng tệp PDF thực sự rất phức tạp. Nó có thể chứa nhiều thứ, không chỉ là văn bản và hình ảnh, như bạn có thể mong đợi. PDF hỗ trợ nhiều tính năng mà nó được cho là không nên, đã mở ra nhiều lỗ hổng bảo mật trong quá khứ.
- JavaScript: PDF có thể chứa mã JavaScript, cùng ngôn ngữ được sử dụng bởi các trang web trong trình duyệt của bạn. Các tệp PDF có thể là động và chạy mã sửa đổi nội dung của PDF hoặc thao tác các tính năng của trình xem PDF. Trong lịch sử, nhiều lỗ hổng đã được gây ra bởi các tệp PDF sử dụng mã JavaScript để khai thác Adobe Reader. Việc triển khai JavaScript của Adobe Reader thậm chí còn chứa các API JavaScript dành riêng cho Adobe, một số trong đó không an toàn và đã bị khai thác.
- Flash nhúng: PDF có thể chứa nội dung Flash nhúng. Bất kỳ lỗ hổng nào trong Flash cũng có thể được sử dụng để thỏa hiệp Adobe Reader. Cho đến ngày 10 tháng 4 năm 2012, Adobe Reader chứa Flash Player đi kèm. Các lỗi bảo mật được sửa trong Flash Player chính có thể chưa được sửa trong Flash Player được đóng gói của Adobe Read cho đến nhiều tuần sau đó, để lại các lỗ hổng bảo mật mở rộng để khai thác. Adobe Reader hiện sử dụng Flash Player được cài đặt trên hệ thống của bạn chứ không phải trình phát nội bộ.
- Khởi động hành động: Các tệp PDF có khả năng khởi chạy bất kỳ lệnh nào sau khi bật lên một cửa sổ xác nhận. Trong các phiên bản cũ hơn của Adobe Reader, một tệp PDF có thể cố gắng khởi chạy một lệnh nguy hiểm miễn là người dùng nhấp vào OK. Adobe Reader hiện chứa một danh sách đen hạn chế các tệp PDF khởi chạy các tệp thực thi.
- GoToE: Tệp PDF có thể chứa các tệp PDF nhúng, có thể được mã hóa. Khi người dùng tải tệp PDF chính, nó có thể tải ngay tệp PDF được nhúng. Điều này cho phép kẻ tấn công ẩn các tệp PDF độc hại bên trong các tệp PDF khác, đánh lừa các trình quét chống vi-rút bằng cách ngăn chúng kiểm tra tệp PDF ẩn.
- Điều khiển phương tiện nhúng: Ngoài Flash, các tệp PDF trong lịch sử có thể chứa Windows Media Player, RealPlayer và QuickTime media. Điều này sẽ cho phép PDF khai thác các lỗ hổng trong các điều khiển trình phát đa phương tiện có thể nhúng này.
Có nhiều tính năng khác trong định dạng tệp PDF làm tăng bề mặt tấn công của nó, bao gồm khả năng nhúng bất kỳ tệp nào trong tệp PDF và sử dụng đồ họa 3D.
Bảo mật PDF đã được cải thiện
Bây giờ bạn nên hy vọng hiểu tại sao các tệp Adobe Reader và PDF là nguồn gốc của rất nhiều lỗ hổng bảo mật. Các tệp PDF có thể trông giống như các tài liệu đơn giản, nhưng đừng bị lừa dối - có thể có nhiều hơn nữa đang diễn ra dưới bề mặt.
Tin tốt là bảo mật PDF đã được cải thiện. Adobe đã thêm một hộp cát có tên là Chế độ bảo vệ trực tuyến, trong Adobe Reader X. Điều này chạy PDF trong một môi trường hạn chế, bị khóa trong đó nó chỉ có quyền truy cập vào một số phần nhất định trên máy tính của bạn chứ không phải toàn bộ hệ điều hành của bạn. Nó tương tự như cách hộp cát của Chrome cô lập các quy trình trang web với phần còn lại của máy tính của bạn. Điều này tạo ra nhiều công việc hơn cho những kẻ tấn công. Họ không phải tìm lỗ hổng bảo mật trong trình xem PDF - họ phải tìm lỗ hổng bảo mật và sau đó sử dụng lỗ hổng bảo mật thứ hai trong hộp cát để thoát khỏi hộp cát và làm hỏng phần còn lại của máy tính. Điều này là không thể làm được, nhưng các lỗ hổng bảo mật đã được phát hiện và khai thác ít hơn nhiều trong Adobe Reader kể từ khi hộp cát được giới thiệu.
Bạn cũng có thể sử dụng trình đọc PDF của bên thứ ba, thường không hỗ trợ mọi tính năng PDF. Đây có thể là một phước lành trong một thế giới nơi PDF chứa rất nhiều tính năng đáng ngờ. Chrome có trình xem PDF tích hợp sử dụng hộp cát của nó, trong khi Firefox có trình xem PDF tích hợp riêng được viết hoàn toàn bằng JavaScript, do đó, nó chạy trong cùng một môi trường bảo mật như một trang web bình thường..
Mặc dù chúng ta có thể tự hỏi liệu PDF có thực sự có thể làm được tất cả những điều này hay không, nhưng bảo mật PDF ít nhất đã được cải thiện. Đó là nhiều hơn những gì chúng ta có thể nói về trình cắm Java, rất tệ và hiện là vectơ tấn công chính trên web. Chrome cũng cảnh báo bạn trước khi chạy nội dung Java nếu bạn cũng đã cài đặt trình cắm Java.