Windows powinien mieć wbudowany czytnik PDF?

Skoro Adobe nie jest w stanie zabezpieczyć swojego oprogramowania tak, by przestępcy nie mogli wykorzystywać plików PDF do atakowania komputerów, to o bezpieczeństwo użytkowników powinien zadbać Microsoft - twierdzi Sean Sullivan, znany specjalista do spraw bezpieczeństwa. Jego zdaniem koncern mógłby wziąć przykład z Apple i wbudować do systemu operacyjnego Windows prostą aplikację do otwierania plików PDF.

"Apple wyposażył swój system w coś takiego - w Mac OS X jest aplikacja Preview. może - i powinien - zrobić to samo" - twierdzi Sean Sullivan, zatrudniony w amerykańskim oddziale firmy F-Secure. "Chciałbym mieć w Windows uproszczony do granic możliwości program do odczytywania dokumentów w formacie PDF. Nie chcę słuchać treści PDF-ów, nie chcę, by były w nich uruchamiane skrypty JavaScript ani tym bardziej pliki wykonywalne. Chcę tylko, by taki program wyświetlał treść pliku" - tłumaczył ekspert, ironicznie nawiązując do najróżniejszych dodatkowych funkcji, w które w ostatnim czasie koncern Adobe wyposaża swój podstawowy, darmowy czytnik plików (czyli Adobe Readera).

Niebezpieczne funkcje dodatkowe

Problem polega na tym, że te dodatkowe funkcje - głównie chodzi tu o obsługę JavaScript oraz funkcję umożliwiającą uruchamianie dodatkowych plików (czyli /Launch) - są w ostatnich miesiącach bardzo chętnie wykorzystywane przez przestępców do atakowania użytkowników. Z opublikowanego niedawno raportu na temat internetowych zagrożeń (przygotowanego przez firmę McAfee) wynika, że w roku 2009 r. przestępcy wykorzystywali luki w Adobe Readerze do atakowania użytkowników... ośmiokrotnie częściej niż w roku poprzednim. Pierwszy statystki dotyczące 2010 r. pokazują, że trend ten się utrzymuje.

Szczególnie chętnie cyberprzestępcy używają wspomnianej już funkcji /Launch, umożliwiającej osadzenie w dokumencie PDF pliku wykonywalnego - autorzy złośliwego oprogramowania wykorzystują ją do instalowania w komputerach internautów wirusów, trojanów oraz aplikacji zmieniających maszyny w elementy botnetu (tzw. zombie PC).

Drogi Microsofcie...

We wpisie blogowym, będącym jednocześnie listem otwartym do władz koncernu z Redmond, Sean Sullivan napisał m.in. "Drogi Microsofcie, Twoi klienci mają już dość zmagania się z dziurami i skomplikowanymi funkcjami dodatkowymi popularnych czytników PDF". Później, w rozmowie telefonicznej z naszymi kolegami z amerykańskiego ComputerWorlda, Sullivan dodał: "Ludzie z Microsoftu powinni po prostu zrobić podstawowy czytnik PDF-ów, który będzie umożliwiał wyłącznie wyświetlenie ich zawartości. To nawet nie musi być wbudowane w Windows - niech udostępnią to np. jako opcjonalne darmowe narzędzie".

Ale to może nie być proste do zrealizowania - Microsoft próbował już raz rozszerzyć zakres funkcji swoich produktów o pełną obsługę PDF i nie do końca się do udało. W MS wprowadzono dostępną domyślnie funkcję "Zapisz jako PDF" - ale przeciwko takiemu rozwiązaniu zaprotestowali przedstawiciele Adobe. Microsoft został zmuszony do usunięcia tego rozwiązania z instalowanej domyślnie wersji MS Office - zamiast tego udostępnił darmowy (ale opcjonalny) dodatek do swojego pakietu biurowego o nazwie "Zapisz jako PDF". Dopiero później, gdy koncern Adobe uzyskał dla formatu PDF status standardu ISO, Microsoft mógł znów oficjalnie wprowadzić do MS Office 2007 funkcję zapisywania dokumentów do PDF (pojawia się ona po zainstalowaniu Service Packa 2).

Ale Office wciąż nie potrafi otwierać dokumentów PDF (niezbędne jest zainstalowanie wtyczki lub dodatkowej aplikacji). Również funkcja podglądu plików, dostępna w Windows 7 i Vista, nie obsługuje tego formatu (to wynik sprzeciwu Adobe). Jako alternatywę dla PDF Microsoft próbował promować własny format dokumentu, XPS (XML Paper Specification) - ale nie zdobył on większej popularnosci.

Adobe Reader Lite?

"Specyfikacja PDF od kilku lat dostępna jest bez żadnych opłat licencyjnych - Microsoft nie musi już płacić za to Adobe. Nie ma żadnego logicznego powodu, dla którego nie mieliby stworzyć własnego czytnika PDF" - mów Sullivan.

Ekspert z F-Secure kilkakrotnie wspominał w swoim wpisie o dostępnej w Mac OS X funkcji Preview, dzięki której w systemie Apple'a można przeglądać pliki PDF bez potrzeby instalowania dodatkowych aplikacji. Warto jednak odnotować, że akurat Preview nie jest najlepszym przykładem oprogramowania odpornego na ataki - kilka tygodni temu Charlie Miller, słynny specjalista ds. bezpieczeństwa Mac OS X, udowodnił, że aplikacja ta zawiera sporo poważnych luk w zabezpieczeniach.

Ale Sullivan tłumaczy, że przygotowanie czytnika PDF, który będzie pozbawiony funkcji najczęściej wykorzystywanych przez przestępców, może znacząco poprawić bezpieczeństwo użytkowników. Jeśli nie zrobi tego Microsoft, to może pomysłem powinna zainteresować się firma Adobe? "Byłoby idealnie, gdyby przygotowali dwie wersje Readera - zwykłą i wydanie "lite", które byłoby najprostszym na świecie czytnikiem PDF" - podsumowuje ekspert.

Więcej informacji znaleźć można w blogu F-Secure.