Microsoft en Google helpen pdf'jes beveiligen

Onder druk van die ontwikkeling heeft Adobe zijn beveiligingsinspanningen opgevoerd, onder andere met met meer aandacht voor lekken en een driemaandelijkse patchronde om deze te dichten. Ook heeft Adobe beveiliging een belangrijke rol gegeven in het ontwikkelproces, met de invoering van de Secure Product LifeCycle. Dat dwingt ontwikkelaars expliciet aandacht te besteden aan beveiligingsproblemen.

Met versie 10 van zijn Reader wil Adobe een volgende stap zetten in het veiliger maken van het openen van pdf-bestanden, door de introductie van ‘sandboxing’. Dat isolatiemechanisme heeft algemene bekendheid gekregen met de introductie van Java door Sun, in de jaren negentig van de vorige eeuw. Tegenwoordig wordt het bijvoorbeeld ook toegepast door Microsoft en Google in hun browsers. Laatstgenoemden hebben Adobe geholpen met de implementatie van de techniek in zijn Reader.

De techniek richt voor processen een eigen hoekje in op de computer waar strenge beperkingen worden opgelegd aan de communicatie met de rest van het systeem. Dat maakt het leven voor hackers een stuk lastiger. Kwaadaardige code die ze binnensmokkelen in zo’n container kan in principe geen schade aanrichten op het systeem, of de hacker moest een (tweede) mechanisme hebben ontwikkeld om uit de container te breken.

Aanknopingspunt voor zo’n tweede hackmechanisme is de zogeheten broker, het mechanisme dat regelt welke functies de reader buiten de container mag uitvoeren. Adobe heeft in die broker strikte regels geformuleerd over wat de reader onder bepaalde omstandigheden wel en niet mag wegschrijven en welke processen het mag aanroepen en dergelijke.

De kwaliteit van Adobes beveiligingsoplossing staat of valt met de kwaliteit van deze broker. Volgens Adobes directeur beveiliging Brad Arkin valt niet te garanderen dat dat brokermechanisme niet geëxploiteerd kan worden door hackers. Maar hij is ervan overtuigd dat, als het al kan, het ze bijzonder moeilijk zal vallen omdat het om nieuwe code gaat die vanaf het begin af aan geschreven is met beveiliging als aandachtspunt.

Adobe Reader 10 wordt nog voor het eind van het jaar gelanceerd. Alles dat te maken heeft met het weergeven van een pdf-document, inclusief de JavaScripts. In eerste instantie biedt de versie alleen bescherming tegen schrijfopdrachten vanuit een container – waarmee het binnensmokkelen van code wordt tegengegaan. In de toekomst worden daaraan ook restricties aan leesopdrachten toegevoegd, om het vissen naar wachtwoorden en andere persoonlijke informatie tegen te gaan.

Adobe gaat na de introdcutie van versie 10 ook meer druk uitoefenen op gebruikers van oudere versies om op te waarderen.