Chrome thường cảnh báo bạn “Loại tệp này có thể gây hại cho máy tính của bạn” khi bạn cố tải xuống nội dung nào đó, ngay cả khi đó là tệp PDF. Nhưng làm thế nào mà một tệp PDF có thể nguy hiểm đến vậy - không phải PDF chỉ là một tài liệu có văn bản và hình ảnh?
Các trình đọc PDF như Adobe Reader là nguồn của nhiều lỗ hổng bảo mật trong những năm qua. Điều này là do tệp PDF không chỉ là một tài liệu - nó có thể chứa tập lệnh, phương tiện được nhúng và những thứ đáng nghi vấn khác.
PDF không chỉ là tài liệu
Định dạng tệp PDF thực sự rất phức tạp. Nó có thể chứa nhiều thứ, không chỉ là văn bản và hình ảnh, như bạn có thể mong đợi. PDF hỗ trợ nhiều tính năng mà nó được cho là không nên, vốn đã mở ra nhiều lỗ hổng bảo mật trong quá khứ.
- JavaScript : Các tệp PDF có thể chứa mã JavaScript, cùng một ngôn ngữ được các trang web trong trình duyệt của bạn sử dụng. PDF có thể là mã động và chạy để sửa đổi nội dung của PDF hoặc điều khiển các tính năng của trình xem PDF. Trong lịch sử, nhiều lỗ hổng đã được gây ra bởi các tệp PDF sử dụng mã JavaScript để khai thác Adobe Reader. Việc triển khai JavaScript của Adobe Reader thậm chí còn chứa các API JavaScript dành riêng cho Adobe, một số trong số đó không an toàn và đã bị khai thác.
- Nhúng Flash : Các tệp PDF có thể chứa nội dung Flash được nhúng. Bất kỳ lỗ hổng nào trong Flash cũng có thể được sử dụng để xâm phạm Adobe Reader. Cho đến ngày 10 tháng 4 năm 2012, Adobe Reader có Flash Player đi kèm riêng. Các lỗi bảo mật đã được sửa trong Flash Player chính có thể chưa được sửa trong Flash Player đi kèm của Adobe Reader cho đến vài tuần sau, để lại lỗ hổng bảo mật rộng rãi để khai thác. Adobe Reader hiện sử dụng Trình phát Flash được cài đặt trên hệ thống của bạn thay vì trình phát nội bộ.
- Khởi chạy các hành động : Các tệp PDF có khả năng khởi chạy bất kỳ lệnh nào sau khi bật lên một cửa sổ xác nhận. Trong các phiên bản cũ hơn của Adobe Reader, tệp PDF có thể cố khởi chạy một lệnh nguy hiểm miễn là người dùng nhấp vào OK. Adobe Reader hiện chứa một danh sách đen hạn chế các tệp PDF khởi chạy các tệp thực thi.
- Goto hình ảnh : Các tệp PDF có thể chứa các tệp PDF được nhúng, có thể được mã hóa. Khi người dùng tải tệp PDF chính, nó có thể tải ngay tệp PDF được nhúng của nó. Điều này cho phép những kẻ tấn công ẩn các tệp PDF độc hại bên trong các tệp PDF khác, đánh lừa các trình quét chống vi-rút bằng cách ngăn chúng kiểm tra tệp PDF ẩn.
- Điều khiển phương tiện được nhúng : Ngoài Flash, các tệp PDF trước đây có thể chứa các phương tiện Windows Media Player, RealPlayer và QuickTime. Điều này sẽ cho phép một tệp PDF khai thác các lỗ hổng trong các điều khiển trình phát đa phương tiện có thể nhúng này.
Có nhiều tính năng khác trong định dạng tệp PDF làm tăng khả năng tấn công của nó, bao gồm khả năng nhúng bất kỳ tệp nào vào bên trong PDF và sử dụng đồ họa 3D.
Bảo mật PDF đã được cải thiện
Giờ đây, bạn hy vọng sẽ hiểu tại sao Adobe Reader và các tệp PDF lại là nguồn của rất nhiều lỗ hổng bảo mật. Các tệp PDF có thể trông giống như các tài liệu đơn giản, nhưng đừng bị đánh lừa - có thể còn nhiều điều khác đang diễn ra dưới bề mặt.
Tin tốt là bảo mật PDF đã được cải thiện. Adobe đã thêm một hộp cát có tên “Chế độ được bảo vệ” trong Adobe Reader X. Tính năng này chạy PDF trong một môi trường hạn chế, bị khóa, nơi nó chỉ có quyền truy cập vào một số phần của máy tính chứ không phải toàn bộ hệ điều hành của bạn. Nó tương tự như cách hộp cát của Chrome tách các quy trình trang web khỏi phần còn lại của máy tính của bạn. Điều này tạo ra nhiều công việc hơn cho những kẻ tấn công. Họ không chỉ phải tìm lỗ hổng bảo mật trong trình xem PDF - họ còn phải tìm lỗ hổng bảo mật và sau đó sử dụng lỗ hổng bảo mật thứ hai trong hộp cát để thoát khỏi hộp cát và gây thiệt hại cho phần còn lại của máy tính của bạn. Điều này không phải là không thể làm được, nhưng đã có ít lỗ hổng bảo mật hơn được phát hiện và khai thác trong Adobe Reader kể từ khi hộp cát được giới thiệu.
Bạn cũng có thể sử dụng trình đọc PDF của bên thứ ba, thường không hỗ trợ mọi tính năng PDF. Đây có thể là một điều may mắn trong một thế giới mà PDF chứa quá nhiều tính năng đáng ngờ. Chrome có trình xem PDF tích hợp sử dụng hộp cát của nó, trong khi Firefox có trình xem PDF tích hợp của riêng nó được viết hoàn toàn bằng JavaScript, vì vậy nó chạy trong môi trường bảo mật giống như một trang web bình thường.
Mặc dù chúng ta có thể tự hỏi liệu các tệp PDF có thực sự có thể thực hiện tất cả những điều này hay không, nhưng ít nhất tính bảo mật của PDF đã được cải thiện. Đó là nhiều hơn những gì chúng ta có thể nói đối với plugin Java, thật là khủng khiếp và hiện là vectơ tấn công chính trên web. Chrome cảnh báo bạn trước khi chạy nội dung Java nếu bạn cũng đã cài đặt plugin Java.
