Adobe ondersteunt beveiliging in Reader, Acrobat XI met toegevoegde functies

De onlangs gelanceerde Adobe Reader en Adobe Acrobat XI worden geleverd met nieuwe beveiligingsfuncties en een verbeterde sandbox waardoor de producten moeilijker kunnen worden aangevallen en misbruikt, volgens Adobe.

De sandboxfunctie die bekend staat als de beschermde modus die voor het eerst werd geïntroduceerd in Adobe Reader X, bleek succesvol in het verminderen van traditionele PDF-exploits. De technologie werkt door bepaalde bewerkingen van Adobe Reader te isoleren in een strikt gecontroleerde omgeving en maakt het erg moeilijk voor aanvallers om kwaadaardige code te schrijven en uit te voeren op een systeem na misbruik van een kwetsbaarheid in het product.

"Sinds we sandbox-bescherming hebben toegevoegd aan Adobe Reader en Acrobat, we hebben in het wild geen exploits gezien die uit de Adobe Reader en Acrobat X-sandbox komen ", zegt Priyank Choudhury, een beveiligingsonderzoeker bij Adobe's Secure Software Engineering Team, woensdag in een blogpost.

[Meer informatie] lezen: hoe u malware van uw Windows-pc verwijdert]

Dit betekent echter niet dat de Adobe Reader X-sandbox alle soorten aanvallen kan voorkomen. De sandbox was bijvoorbeeld in de eerste plaats bedoeld om schrijfbewerkingen te beperken, niet leesbewerkingen, wat betekent dat potentiële aanvallers gevoelige informatie uit een systeem kunnen stelen na gebruik van een Adobe Reader X-kwetsbaarheid.

Dat is niet langer een probleem in Adobe Reader XI, Choudhury zei. "In Adobe Reader XI hebben we mogelijkheden voor gegevensdiefstalpreventie toegevoegd door de sandbox uit te breiden om alleen-lezen-activiteiten te beperken om te beschermen tegen aanvallers die gevoelige informatie op de computer van de gebruiker willen lezen."

"Ik heb eerder gewaarschuwd dat Adobe De sandbox van Reader X is een schrijfsandbox, bijvoorbeeld die lezing is nog steeds volledig toegestaan ​​en maakt dus nog steeds het stelen van informatie mogelijk ", zei Didier Stevens, een beveiligingsonderzoeker bekend om zijn PDF-beveiligingswerk, donderdag via e-mail. "Ik heb dat getest."

De nieuwe versie van Adobe Reader wordt ook geleverd met een beschermde weergavemodus die de sandbox verder versterkt door een apart vensterstation te maken - een afzonderlijk beveiligd klembord en bureaublad - voor het PDF-weergaveproces. Deze functie is ontworpen om zogenaamde schermschavende aanvallen te blokkeren waarbij de ene toepassing gegevens leest van de weergave-uitvoer van een ander programma dat op dezelfde desktop wordt uitgevoerd.

Adobe Acrobat had al een beschermde weergavemodus die is uitgebreid in de nieuwe versie. "Protected View gedraagt ​​zich identiek voor Adobe Reader en Acrobat, ongeacht of PDF-bestanden in het stand-alone product of in de browser worden weergegeven," zei Choudhury.

De ondersteuning voor Address Space Layout Randomization (ASLR), een op geheugen gebaseerde anti-exploitatietechnologie, is ook verbeterd in de nieuwe Adobe Reader- en Acrobat-versies.

ASLR kan lastig zijn om in een programma te implementeren, omdat al zijn uitvoerbare bestanden en DLL's (Dynamic Link Libraries) het moeten ondersteunen zodat de bescherming volledig is effectief.

"In Adobe Reader en Acrobat XI hebben we ondersteuning voor Force ASLR op Windows 7 en Windows 8 ingeschakeld", zei Choudhury. "Force ASLR verbetert de effectiviteit van bestaande ASLR-implementaties door ervoor te zorgen dat alle DLL's die worden geladen door Adobe Reader of Acrobat XI, inclusief oudere DLL's zonder ASLR ingeschakeld, gerandomiseerd zijn."

Bovendien profiteren Adobe Reader en Acrobat XI van een nieuwe PDF Whitelisting Framework waarmee systeembeheerders, vooral in enterprise-omgevingen, specifieke functionaliteit zoals JavaScript voor bepaalde PDF-bestanden, sites of hosts kunnen inschakelen.

Veel beveiligingsonderzoekers raden aan JavaScript-ondersteuning uit te schakelen in Adobe Reader en Acrobat omdat de meeste PDF-exploits JavaScript vereisen om te werken. Deze functionaliteit kan echter ook legitieme doeleinden hebben, dus het uitschakelen van deze functionaliteit voor iedereen in een bedrijfsomgeving kan onpraktisch zijn.

De nieuwe Adobe Reader en Acrobat XI bieden ook ondersteuning voor digitale handtekeningen van inhoud die Elliptic Curve Cryptography (ECC) gebruiken. "Gebruikers kunnen nu validatiegegevens voor de lange termijn automatisch insluiten bij het gebruik van handtekeningen van certificaten en certificaatcertificaten gebruiken die op ECC-gebaseerde referenties (elliptische curve-cryptografie) ondersteunen," zei Choudhury.