Acrobat Reader X, con la seguridad por bandera

logo pdfTras unos meses en los que se ha hablado mucho de la vulnerabilidad del formato PDF, Adobe anuncia ahora la décima versión de Reader, centrada precisamente en la seguridad. Roberto Boya, de la división ibérica de la compañía, ha desgranado para ReadWriteWeb la nueva tecnología, basada en el modelo sandbox.

Muy pronto llegará a los equipos la familia X de Acrobat Reader, también para móviles, con más posibilidades de interacción gracias a las notas superpuestas y los destacados que podrán añadirse al texto. Y una función tan sencilla como deseada: la posibilidad de convertir un documento PDF en uno de Word o de Excell. Pero, sobre todo, la empresa afirma haber trabajado en seguridad.

Roberto Boya, de Adobe Systemas Ibérica, ha explicado en exclusiva para ReadWriteWeb cuáles son las ventajas que ofrece el recién presentado Acrobat Reader X. Como en las versiones anteriores, llegará con la opción de alta seguridad habilitada por defecto, así como la limitación del tipo de JavaScript aceptables, de las llamadas a dominios cruzados y del acceso a recursos locales.

Pero, además, destaca el empleo del mecanismo de seguridad conocido como sandboxing, que implica que la ejecución del programa se lleva a cabo dentro de un entorno confinado en el que algunas funciones no están permitidas. “Se trata de evitar Reader como vector de ataque apoyándose en la experiencia de Microsoft, de modo que todo el código se ejecute dentro de un entorno controlado”. El de Adobe reconoce que por su enorme difusión su producto se ha convertido “en un vector goloso para los troyanos”, por eso han recurrido a “los mecanismos que utilizan los que han sido atacados antes”. También Google se sirve de esta tecnología.

Los fallos de PDF pueden tener otros culpables

Boya también quiso aclarar que los errores de PDF, incluidos los de seguridad, no tienen por qué ser responsabilidad de Adobe. Aunque suyo sea el lector Reader, PDF es un estándar abierto desde 2008 gestionado por ISO. Por eso están tratando de “concienciar a los usuarios de que el problema puede estar en el Sistema Operativo”.

Como ejemplo ilustrativo está el sonado caso del exploit que permitió ejecutar programación en el iPhone 4 gracias a un error en las tipografías embebidas a través de Safari Mobile.

Otra versión de la votación contra PDF en VB Conference

A principios de octubre, informamos sobre una votación realizada a mano en las conferencias sobre seguridad organizadas por Virus Bulletin. En concreto, fue el investigador de Sophos Paul Bacus quien pidió a sus colegas si cambiando a un estándar distinto del PDF se reduciría la inseguridad. Entonces la publicación V3 transmitió que habían votado a favor el 97% de los asistentes; con rotundidad.

Posteriormente desde Hipertextual se llevó a cabo una investigación con el objetivo de aclarar la situación. Tras consultar a otro experto en seguridad que asistió a la conferencia, sin especificar de quién se trata, han determinado que todo fue “una exageración”, y que “el número es un invento”. Contextualizan que la votación se llevó a cabo a modo de broma al final de la charla, sin ningún tipo de rigor, como indicó ReadWriteWeb al mencionar que ni se trataba de una votación oficial, ni los asistentes representaban a ningún colectivo con capacidad de decisión.

Con Acrobat Reader X y sus nuevas medidas de seguridad Adobe tiene por delante la tarea de demostrar que ha dado un gran salto adelante.

Contenidos Relacionados

Top