PDF: problemi di sicurezza ma senza vulnerabilità

A quanto pare i problemi di sicurezza legati all’ormai diffusissimo formato PDF sembrano non avere fine, neppure dopo le recenti patch che hanno messo un cerotto ai lettori PDF. Stavolta però, non c’è alcuna falla da tappare: il problema è nella struttura stessa dei file PDF.

Nei giorni scorsi è stata scoperta una nuova vulnerabilità che fa paura agli utilizzatori dei Portable Document Format. Il ricercatore belga Didier Stevens, ha infatti scoperto un nuovo metodo per iniettare, all’interno di comunissimi file PDF, file eseguibili che all’apertura del file stesso vengono avviati automaticamente.

In questo modo, chiunque potrebbe inserire in un semplice file PDF trojan, virus, o eseguire codice malevolo. Il problema però, a differenza dei precedenti, non dipende da errori di programmazione o bug, ma semplicemente dalla struttura stessa dei file PDF, che prevedono per loro natura questo tipo di inclusioni, per eseguire codici e script.

Alcuni lettori come Adobe Reader, visualizzano un messaggio in cui si avvisa l’utente dell’esecuzione di alcuni comandi, ma Stevens ha affermato che questo messaggio può essere manomesso, ingannando così l’utente e invitandolo a consentirne l’esecuzione.

Adobe e Foxit, leader nel mondo dei lettori PDF, hanno da subito risposto al ricercatore che, fortunatamente, non ha pubblicato alcun materiale online e ha direttamente sottoposto tutto all’attenzione degli sviluppatori.

Adobe non ha preso posizione, nè tantomeno ha dichiarato il rilascio di una patch per il suo Reader, mentre Foxit si è messa da subito al lavoro promettendo il rilascio imminente di un nuovo aggiornamento.