Dans une récente présentation au Chaos Communication Congress à Berlin, le chercheur en sécurité Julia Wolf mis en évidence un certain nombre de “caractéristiques” du format PDF qui pourraient conduire à des problèmes de sécurité graves.
Wolf a montré que d’un fichier PDF peut contenir un scanner de base de données qui pourraient “scanner un réseau lorsque le document est imprimé sur une imprimante réseau,” et que les fichiers PDF pourrait “aveuglément déclencher l’exécution de programmes arbitraires dans Acrobat Reader.” PDF est également “langages de script intrinsèquement dangereux comme JavaScript, des formats tels que XML, les balises RFID et gestion des droits numériques (DRM). “
En outre, les documents PDF sont tels que des données peuvent être cachées dans de nombreux endroits dans les fichiers. Les documents et les métadonnées peuvent être lus et modifiés en utilisant Javascript, et les fichiers compressés, tels que les fichiers ZIP, pourraient être incorporés dans les PDF. En bref, le format PDF, conçu pour retenir la disposition des plates-formes, a été transformé en un format passe partout, et cette surcharge de fonctions conduit à des problèmes de sécurité potentiels.
Adobe prévoit d’utiliser sandbox dans la prochaine version de son logiciel Acrobat Reader et, mais ce n’est pas clair si ce sera suffisant pour atténuer certains des exploits possibles qui peuvent être utilisés dans les fichiers PDF.
Donc, une fois de plus, nous recommandons fortement aux utilisateurs Mac d’utiliser Aperçu pour visualiser les documents PDF, à moins qu’ils aient absolument besoin de fonctionnalités présentes dans les logiciels d’Adobe.