За последние два-три года Adobe сильно досталось: уязвимости в Adobe Reader обнаруживались с завидной регулярностью, а компания-разработчик откровенно не была готова оперативно на это реагировать. В результате исправленные версии выходили поздно, а устанавливались пользователями еще позже, в следствие чего Adobe Actobat Reader надолго занял почетное место лидера по уязвимостям среди прикладного ПО.
Многих пользователей, преимущественно работающих в сферах ИТ и ИБ, такая стабильная ненадежность Adobe Reader натолкнула на идею заменить его на что-то другое, менее популярное, а от того не особенно аппетитное для хакеров. Выбор зачастую падал на FoxIt Reader -- простую и удобную программу, занимающую в десятки раз меньшие объемы жесткого диска и ОЗУ. И все бы ничего, да вот только появился на прошлой неделе Proof of Concept вектора атаки, заставивший усомниться в надежности FoxIt даже самых ярых его поклонников.
Началось все с того, что Didier Stevens , исследователь из Бельгии, опубликовал видео, на котором продемонстрировал оригинальное использование метода /launchиз спецификации PDF. Этот метод позволяет запустить существующий в системе исполняемый код, например cmd.exe, и передать ему аргументы командной строки. При этом пользователю выдается предупреждение о намерении PDF-документа запустить внешнюю программу, и требование показа такого предупреждения зафиксировано все в той же спецификации. Дидье поэкспериментировал некоторое время с этим методом и достиг результата, при котором PDF-документ осуществлял попытку запуска вложенного в файл документа мобильного кода(!), но у пользователя все еще оставалась возможность предотвратить атаку нажав кнопку "Отмена" в окне предупреждения. Похимичив над документом еще какое-то время, исследователь нашел способ частично контролировать текст выдаваемого предупреждения, что раскрыло перед ним широкую перспективу дополнения вектора атаки элементами социальной инженерии.
Вдоволь наигравшись с Acrobat Reader, Дидье оформил письмо с деталями своих изысканий в Adobe и решил проверить, как же на подобные PDF-файлы реагирует хваленый безопасный FoxIt Reader. FoxIt открыл PDF и запустил вложенный исполняемый код, при этом не продемонстрировав ни намека на всплывающее окно с предупреждением. Естественно, сознательный Дидье сразу же информировал об этом вендора, который оперативно отреагировал выпуском исправленной версии, в которой теперь все почти так же, как и в Adobe Reader. Предупреждение появляется, но его текст нельзя контролировать, что оставляет хакеру меньше возможностей выполнения кода на машине жертвы, используя методы социальной инженерии.
Подробнее обо этих событиях Дидье рассказывает в интервью подкасту Eurotrash Security . Меня же они натолкнули на вот такое предположение. По-моему, люди осознающие ущербность Adobe Reader, уже достаточно образованы для того, чтобы не открывать все попадающие под руку PDF-файлы. Зачем же тогда мигрировать на альтернативное ПО, которое, как оказалось, в определенном смысле отнюдь не безопаснее, а даже наоборот? Между тем, я остаюсь при мнении, что для массового использования пользователями, не имеющими представления об опасностях, таящихся в полученных из ненадежных источников PDF-файлах, все-таки лучше подошел бы FoxIt Reader. Если у вас есть соображения по этому поводу, прошу делиться.
Update Статья на эту же тему на CNet.
Update Официальный ответ Adobe с руководством по безусловной блокировке опасного функционала.
Adobe vs FoxIt
