Säkerhetsforskaren Didier Stevens har nyligen demonstrerat hur det är möjligt att köra godtyckliga filer i pdf-dokument även fast de senaste pdf-applikationerna från Adobe och Foxit inte tillåter det.
Angreppet, som bygger på ett visst mått av social ingenjörskonst, beskrivs i detalj i pdf-specifikationen ISO PDF 32000-1:2008 under sektion 12.6.4.5, uppger Steve Gottwals, produktchef på Adobe, i sin blogg.
Både Adobe Reader- och Acrobatprodukter visar en varning som i korthet säger att endast betrodda körbara filer bör öppnas. Men Stevens har visat hur varningsmeddelandets innehåll kan modifierats för att lura användaren till att köra filen i alla fall. Företaget tittar nu på hur man kan lösa detta problem.
"Vi arbetar nu på hur vi bäst kan ta oss an denna funktionalitet i Adobe Reader och Acrobat. Vi siktar på att göra lösningen tillgänglig i en av de schemalagda kvartalsvisa produktuppdateringarna", skriver Steve Gottwals.
Under tiden kan administratörer vidta åtgärder som motverkar ett angrepp genom att bocka av ett val under "trust manager" i menyn "preferences". I de svenska versionerna av Adobes applikationer heter dessa val "pålitlighetshanteraren" respektive "inställningar". Genom att bocka av rutan som ger tillåtelse för bifogade filer att köras ska faran med potentiellt manipulerade varningsmeddelanden förekommas, uppger Didier Stevens.
