A Foxit Software megelégelte a PDF-sérülékenységek kapcsán felmerülő egyre több fenyegetettséget, és úgy határozott, hogy komoly lépéseket tesz annak érdekében, hogy a népszerű fájlformátummal visszaélő vírusterjesztők, támadók dolgát megnehezítse. Amikor márciusban a PDF-specifikációban rejlő egyik biztonsági problémára fény derült, akkor a Foxit Readerből jelent meg egy újabb verzió, amely segítette kiküszöbölni a felhasználók megtévesztéséhez is alkalmazható funkció kockázatait. A legújabb, 3.3-as változat azonban ennél lényegesen tovább ment, hiszen egy Trust Manager nevű megoldás révén tulajdonképpen csökkentett vagy biztonságos módban teszi lehetővé a PDF-állományok megtekintését. Fontos megemlíteni, hogy ez az üzemmód alapértelmezetten bekapcsolt állapotban van, így a szoftver telepítését követően mindenféle konfigurálás nélkül lehet a dokumentumokat az eddigieknél biztonságosabban megnyitni.
A Trust Manager alkalmas a PDF-fájlok esetében sok problémát okozó kódfuttatások, URL-ek, különféle járulékos műveletek és JavaScriptek letiltására. Ez utóbbi esetében azonban meg kell jegyezni, hogy a Trust Manager alapesetben nem tiltja le a teljes JavaScript funkcionalitást, viszont a legtöbb problémát okozó műveletek végrehajtását képes megakadályozni.
Az Adobe egyre több kritikával találja magát szemben, ugyanis a márciusban felfedezett PDF-rendellenesség ellen még mindig nem lépett fel. Pedig az elmúlt hetekben már megjelentek azok a kártékony programok, amelyek a terjedésükhöz és a felhasználók megtévesztéséhez kihasználják a hibát. Azonban nemcsak ez a rendellenesség okoz problémákat. A McAfee felmérése szerint 2009-ben kilencszer több PDF exploit jelent meg, mint 2008-ban, és az a tendencia idén is folytatódik.
Sean Sullivan, az F-Secure egyik biztonsági tanácsadója egy érdekes felvetéssel állt elő. Azt a kérdést tette fel, hogy vajon a Microsoft miért nem épít be a Windowsba, vagy ad ki ahhoz olyan alkalmazást, amellyel egyszerűen megtekinthetők lennének a PDF-állományok? "Amikor meg akarok nézni egy PDF-dokumentumot, akkor nem szeretnék futtatható állományokat elindítani, vagy JavaScript kódokat futtatni." - vélekedett Sullivan. A szakember rávilágított arra, hogy az Apple a Preview alkalmazásával már korábban lépett e tekintetben, amiről a Microsoft is példát vehetne.
A cég ugyan az Office 2007 (SP2) esetében már lehetővé tette a dokumentumok PDF-be történő mentését, de PDF-nézegetőt még nem készített. Pedig Sullivan szerint 2006 óta elérhető a PDF-specifikáció, így a Microsoftnak "csak" a fejlesztési költségeket kellene állnia. Ugyanakkor azt az F-Secure tanácsadója is elismerte, hogy az Apple Preview sem hibátlan. (Charlie Miller biztonsági kutató márciusban több mint 60 olyan PDF-állományt talált a weben, amelyek alkalmasak voltak a Preview megbénítására.) Viszont Sullivan azzal is beérné, ha az Adobe készítene egy olyan, mondjuk Reader Lite nevű szoftvert, amely tényleg csak a dokumentumok megtekintésére lenne alkalmas, hiszen ezzel sok sebezhetőségtől lehetne megszabadulni.
A cikk a Computerworld biztonság rovatában jelent meg.
