21 juli 2010

Adobe isoleert zijn veelgeplaagde PDF-reader met sandbox-technologie. Die functionaliteit wordt bij de volgende versie uitgerold. De softwareproducent heeft samengewerkt met de ontwikkelteams van Microsoft's Office 2010 en Google's Chrome. Die producten hebben elk ook 'sandboxes' als isolatietechniek, legt Brad Arkin, hoofd security van Adobe, uit. De 'sandboxing' van Adobe Reader staat default aan en moet nagenoeg alle huidige exploits tegenhouden. 'The idea is to run Reader in a lower-privilege mode so that even if an attacker finds an exploit or vulnerability in Reader, it runs in lower rights mode, which should block the installation of [malware], deleting things on the system, or tampering with the [Windows] registry'. Indien er toch schrijfpermissie nodig is, dan gebeurt dat via een nieuwe tussenlaag. 'Reader still has to legitimately touch the underlying filesystem in order to save PDF files, but it will be configured to work through a separate Adobe 'broker process', such that any attempts by Reader to communicate directly with the operating system will fail', zo stelt Arkin. Arkin is niet bezorgd dat die broker een nieuwe zwakke plek wordt. Het zal waarschijnlijk wel een nieuw aanvalsdoelwit zijn. Maar eerder in de vorm van een linie die malwaremakers moeten veroveren nadat ze een gat in Adobe's PDF-software succesvol hebben misbruikt. Dat laatste is al gebeurd, merkt Arkin droogjes op.

Adobe stelt dat hiermee security-ellende niet voorbij is. Het is geen 'silver bullet'. Het werkt niet tegen social engineering of tegen sommige phishing aanvallen. Het helpt wel tegen malafide PDF-bestanden, zo laat Arkin weten. In de security-labs van Adobe zijn met de sandboxing alle huidige exploits afgedekt. Hij denkt dat de nieuwe beveiliging beter werkt dan de oude: 'Uuder such a system, not only would the attacker have to find a vulnerability in Reader, but they’d also have to carry out a second-stage attack from the Reader process to the broker process. We have put in a place a very small set of policies to make sure that any action the broker process takes on behalf of Reader is absolutely necessary for operation'. Deze isolatie voor de Adobe Reader komt uit voor de Windows-uitvoering. Dat gebeurt met de volgende 'major release' van Reader, maar Arkin kan nog niet aangeven wanneer die wordt uitgebracht. Adobe Reader 8 en 9 krijgen de Protected Mode niet. Arkin benadrukt dat het nogal een klus was: Adobe Reader is een grote, complexe applicatie, en het was geen kwestie van 'even sandboxen'. Een van de struikelblokken was de printfunctionaliteit, zowel voor het afdrukken als het aanmaken van een PDF-document. Daarvoor is relatief veel interactie nodig met het besturingssysteem. Adobe Reader zit voortaan in een sandbox, die alle activiteiten omvat voor het bekijken van een document, inclusief streams, ingebedde video's en JavaScript. De isolatie geldt voor de hele applicatie. Arkin stelt dat de gemiddelde gebruiker niets zal merken van de nieuwe beveiligingstechniek. 'The vast majority of users will never know it’s there', zo zegt hij. 'It doesn’t increase the number of dialogue boxes or choices, and users should be able to continue to interact with Reader the same way they always have'. In sommige gevallen merkt de gebruiker wel wat, bijvoorbeeld gebruikers van Windows XP die 'assisted reading' gebruiken. De mogelijkheden van voorleesapplicaties voor blinden zijn niet geschikt gemaakt voor de aankomende aanpassingen van de PDF-reader. De gebruiker krijgt dan een melding te horen plus instructies hoe de Protected Mode uit te schakelen. In eerste instantie houdt de Protected Mode voor Adobe Reader alleen schrijfacties tegen. Dat wordt uitgebreid middels een kleinere update die volgt op de volgende grote versie met daarin de sandboxing. De zogeheten .1-release brengt ook sandboxing voor leesacties. Adobe heeft vooralsnog geen plannen om de sandbox-aanpak te verwerken in zijn professionele PDF-pakket Acrobat. Deze keuze is ook ingegeven vanwege het grote aantal gebruikers van de gratis PDF-leessoftware. Arkin stelt dat zowel de nieuwe Reader als Acrobat naast elkaar kunnen draaien, waarbij de default actie voor het lezen van PDF-bestanden aangepast wordt. Reader, of de browser plug-in daarvan, opent PDF's, niet Acrobat. Arkin vertelt dat Acrobat niet per se is uitgesloten, maar dat Adobe eerst afwacht hoe de nieuwe beveiliging uitwerkt. De reactie van malwaremakers wordt afgewacht.