जब आप कुछ पीडीएफ डाउनलोड करने का प्रयास करते हैं, तो Chrome अक्सर आपको "इस प्रकार की फ़ाइल आपके कंप्यूटर को नुकसान पहुंचा सकती है", चेतावनी देती है। लेकिन एक पीडीएफ फाइल इतनी खतरनाक कैसे हो सकती है - क्या यह सिर्फ एक टेक्स्ट और छवियों के साथ एक दस्तावेज नहीं है?
एडोब रीडर जैसे पीडीएफ रीडर वर्षों से कई सुरक्षा कमजोरियों का स्रोत रहे हैं। ऐसा इसलिए है क्योंकि एक पीडीएफ फाइल सिर्फ एक दस्तावेज नहीं है - इसमें स्क्रिप्ट, एम्बेडेड मीडिया और अन्य संदिग्ध चीजें हो सकती हैं।
पीडीएफ केवल दस्तावेज़ नहीं हैं
पीडीएफ फाइल प्रारूप वास्तव में बहुत जटिल है। इसमें कई चीजें हो सकती हैं, न कि केवल पाठ और चित्र, जैसा कि आप उम्मीद कर सकते हैं। पीडीएफ कई विशेषताओं का समर्थन करता है जो यकीनन ऐसा नहीं करना चाहिए, जिसने अतीत में कई सुरक्षा छेद खोले हैं।
- जावास्क्रिप्ट : पीडीएफ में जावास्क्रिप्ट कोड हो सकता है, जो आपके ब्राउज़र में वेब पेजों द्वारा उपयोग की जाने वाली भाषा है। पीडीएफ गतिशील और रन कोड हो सकता है जो पीडीएफ की सामग्री को संशोधित करता है या पीडीएफ दर्शक की विशेषताओं में हेरफेर करता है। ऐतिहासिक रूप से, एडोब रीडर का फायदा उठाने के लिए जावास्क्रिप्ट कोड का उपयोग करके पीडीएफ के कारण कई कमजोरियां हुई हैं। एडोब रीडर के जावास्क्रिप्ट कार्यान्वयन में एडोब-विशिष्ट जावास्क्रिप्ट एपीआई भी शामिल हैं, जिनमें से कुछ असुरक्षित थे और उनका शोषण किया गया था।
- एंबेडेड फ्लैश : पीडीएफ में फ्लैश सामग्री शामिल हो सकती है। फ्लैश में किसी भी भेद्यता का उपयोग एडोब रीडर से समझौता करने के लिए भी किया जा सकता है। 10 अप्रैल, 2012 तक, एडोब रीडर में अपना बंडल फ़्लैश प्लेयर था। मुख्य फ्लैश प्लेयर में तय सुरक्षा खामियां एडोब रीडर के बंडल फ्लैश प्लेयर में हफ्तों बाद तक तय नहीं हो सकती हैं, जिससे सुरक्षा छेद व्यापक रूप से शोषण के लिए खुले हैं। एडोब रीडर अब आंतरिक खिलाड़ी के बजाय आपके सिस्टम पर स्थापित फ़्लैश प्लेयर का उपयोग करता है।
- क्रियाएँ लॉन्च करें : पीडीएफ फाइलों में एक पुष्टिकरण विंडो को पॉप अप करने के बाद किसी भी कमांड को लॉन्च करने की क्षमता थी। एडोब रीडर के पुराने संस्करणों में, एक पीडीएफ फाइल एक खतरनाक कमांड लॉन्च करने का प्रयास कर सकती है जब तक कि उपयोगकर्ता ओके पर क्लिक करता है। Adobe Reader में अब एक ब्लैकलिस्ट है जो PDF फ़ाइलों को निष्पादन योग्य फ़ाइलों को लॉन्च करने से प्रतिबंधित करता है।
- गोटो की तस्वीर : पीडीएफ फाइलों में एम्बेडेड पीडीएफ फाइलें हो सकती हैं, जिन्हें एन्क्रिप्ट किया जा सकता है। जब कोई उपयोगकर्ता मुख्य पीडीएफ फाइल को लोड करता है, तो वह तुरंत अपनी एम्बेडेड पीडीएफ फाइल को लोड कर सकता है। यह हमलावरों को अन्य पीडीएफ फाइलों के अंदर दुर्भावनापूर्ण पीडीएफ फाइलों को छिपाने की अनुमति देता है, एंटीवायरस स्कैनर को छिपाकर उन्हें पीडीएफ फाइल की जांच करने से रोकता है।
- एंबेडेड मीडिया नियंत्रण : फ़्लैश के अलावा, PDF में ऐतिहासिक रूप से Windows Media Player, RealPlayer, और QuickTime मीडिया शामिल हो सकते हैं। यह पीडीएफ को इन एम्बेड करने योग्य मल्टीमीडिया प्लेयर नियंत्रणों में कमजोरियों का फायदा उठाने की अनुमति देगा।
पीडीएफ फाइल फॉर्मेट में कई और विशेषताएं हैं जो इसकी हमले की सतह को बढ़ाती हैं, जिसमें पीडीएफ के अंदर किसी भी फाइल को एम्बेड करने और 3 डी ग्राफिक्स का उपयोग करने की क्षमता शामिल है।
पीडीएफ सुरक्षा में सुधार हुआ है
अब आपको यह समझने की उम्मीद करनी चाहिए कि एडोब रीडर और पीडीएफ फाइलें इतनी सारी सुरक्षा कमजोरियों का स्रोत क्यों रही हैं। पीडीएफ फाइलें साधारण दस्तावेजों की तरह लग सकती हैं, लेकिन धोखा नहीं दिया जाएगा - सतह के नीचे बहुत कुछ हो सकता है।
अच्छी खबर यह है कि पीडीएफ सुरक्षा में सुधार हुआ है। एडोब ने एडोब रीडर एक्स में "संरक्षित मोड" नामक एक सैंडबॉक्स जोड़ा। यह पीडीएफ को सीमित, लॉक-डाउन वातावरण में चलाता है जहां इसे केवल आपके कंप्यूटर के कुछ हिस्सों तक पहुंच है, न कि आपके पूरे ऑपरेटिंग सिस्टम पर। यह इसी तरह है कि Chrome का सैंडबॉक्सिंग आपके कंप्यूटर के बाकी हिस्सों से वेब पेज प्रक्रियाओं को अलग करता है। यह हमलावरों के लिए बहुत अधिक काम पैदा करता है। उन्हें बस पीडीएफ दर्शक में सुरक्षा भेद्यता नहीं मिलनी चाहिए - उन्हें सुरक्षा भेद्यता ढूंढनी होगी और फिर सैंडबॉक्स से बचने के लिए सैंडबॉक्स में दूसरी सुरक्षा भेद्यता का उपयोग करना होगा और अपने कंप्यूटर के बाकी हिस्सों को नुकसान पहुंचाना होगा। यह करना असंभव नहीं है, लेकिन सैंडबॉक्स शुरू होने के बाद से एडोब रीडर में बहुत कम सुरक्षा कमजोरियों की खोज की गई है और उनका शोषण किया गया है।
आप तृतीय-पक्ष पीडीएफ पाठकों का भी उपयोग कर सकते हैं, जो आमतौर पर हर पीडीएफ सुविधा का समर्थन नहीं करते हैं। यह एक ऐसी दुनिया में एक आशीर्वाद हो सकता है जहां पीडीएफ में बहुत सारी संदिग्ध विशेषताएं हैं। क्रोम में एक एकीकृत पीडीएफ दर्शक है जो अपने सैंडबॉक्स का उपयोग करता है, जबकि फ़ायरफ़ॉक्स का अपना एकीकृत पीडीएफ दर्शक है जो पूरी तरह से जावास्क्रिप्ट में लिखा है, इसलिए यह उसी सुरक्षा वातावरण में चलता है जो एक सामान्य वेब पेज करता है।
जबकि हम सोच सकते हैं कि क्या पीडीएफ को वास्तव में इन सभी चीजों में सक्षम होना चाहिए, पीडीएफ सुरक्षा में कम से कम सुधार हुआ है। जावा प्लग-इन के लिए हम जितना कह सकते हैं, उससे अधिक है, जो भयानक है और वर्तमान में वेब पर प्राथमिक हमला वेक्टर है। यदि आपके पास जावा प्लग-इन स्थापित है, तो क्रोम भी जावा सामग्री को चलाने से पहले आपको चेतावनी देता है।
