Noticias
PDF: formato inseguro por naturaleza

En el 27th Chaos Communication Congress (27C3) de Berlin, la investigadora de seguridad Julia Wolf de la compañía estadounidense FireEye dejó claro numerosos problemas de seguridad -no conocidos- del estándar Adobe PDF. Por ejemplo, un PDF puede contener un escáner de bases de datos que se vuelve activo y escanea una red cuando el documento se imprime en una impresora de red. Wolf ha comentado que el formato también está lleno de otras sorpresas. Sin ir más lejos, comentó que es posible crear PDFs que muestren distintos contenidos según el sistema operativo, navegador o lector PDF que se utilice para su lectura, o incluso según la configuración de idioma de la máquina en cuestión.
Muchos negocios y autoridades utilizan PDF como estándar de ficero para mantener una consistencia en presentación a lo largo de toda la línea heterogénea de ordenadores. Según Wolf, el estándar tiene demasiadas funciones que pueden ser explotadas para atacar y realizar otras tareas. Esas funciones van desde conexiones a bases de datos sin opciones de seguridad que puedan lanzar programas arbitrarios desde Acrobat Reader. La investigadora comentó que otros riesgos eran generados mediante el soporte de lenguajes script inseguros como JavaScript, XML, etiquetas RFID y tecnologías DRM. Según Wolf, Adobe llama PDF como un formato contenedor, que puede de hecho ofrecer una gran variedad de formatos, archivos flash, audio y vídeo, entre otros.
Según la investigación hay numerosos lugares para esconder datos arbitrarios y código en PDF. La investigadora explicó que por ejemplo todo el documento y los meta datos pueden ser leídos y editados vía JavaScript. Incluso archivos comprimidos en formatos ZIP, que permiten un paso más en objetos arbitrarios incluidos en los comentarios. Es incluso posible crear PDFs que sólo ejecuten JavaScript y que ciertos objetos pueden ser referenciados múltiples veces para ofrecer distintas respuestas según se abre el archivo.
En resumidas cuentas, el formato es inseguro por naturaleza y la mayoría de antivirus no son capaces de detectar software malicioso en PDFs. Adobe ha lanzado Reader 10 con sandbox para lanzar en un proceso separado las acciones, pero ello no implica que el formato en sí sea más seguro, tan sólo el lector. El archivo malicioso seguirá siéndolo y tendrá consecuencias en los sistemas en los que se abra.