क्यों क्रोम कहते हैं पीडीएफ फाइलें आपके कंप्यूटर को नुकसान पहुंचा सकती हैं?
Chrome अक्सर आपको चेतावनी देता है कि "इस प्रकार की फ़ाइल आपके कंप्यूटर को नुकसान पहुंचा सकती है" जब आप कुछ डाउनलोड करने का प्रयास करते हैं, भले ही यह पीडीएफ फाइल हो। लेकिन एक पीडीएफ फाइल इतनी खतरनाक कैसे हो सकती है - यह सिर्फ एक पीडीएफ नहीं है, जिसमें टेक्स्ट और चित्र हैं?
एडोब रीडर जैसे पीडीएफ रीडर वर्षों से कई सुरक्षा कमजोरियों का स्रोत रहे हैं। ऐसा इसलिए है क्योंकि एक पीडीएफ फाइल सिर्फ एक दस्तावेज नहीं है - इसमें स्क्रिप्ट, एम्बेडेड मीडिया और अन्य संदिग्ध चीजें हो सकती हैं.
पीडीएफ सिर्फ दस्तावेज नहीं हैं
पीडीएफ फाइल प्रारूप वास्तव में बहुत जटिल है। इसमें कई चीजें शामिल हो सकती हैं, न कि केवल पाठ और चित्र, जैसा कि आप उम्मीद कर सकते हैं। पीडीएफ कई विशेषताओं का समर्थन करता है जो यकीनन ऐसा नहीं होना चाहिए, जिन्होंने अतीत में कई सुरक्षा छेद खोले हैं.
- जावास्क्रिप्ट: पीडीएफ में जावास्क्रिप्ट कोड हो सकता है, जो आपके ब्राउज़र में वेब पेजों द्वारा उपयोग की जाने वाली भाषा है। पीडीएफ गतिशील और रन कोड हो सकता है जो पीडीएफ की सामग्री को संशोधित करता है या पीडीएफ दर्शकों की सुविधाओं में हेरफेर करता है। ऐतिहासिक रूप से, एडोब रीडर का फायदा उठाने के लिए जावास्क्रिप्ट कोड का उपयोग करके पीडीएफ के कारण कई कमजोरियां हुई हैं। एडोब रीडर के जावास्क्रिप्ट कार्यान्वयन में एडोब-विशिष्ट जावास्क्रिप्ट एपीआई भी शामिल हैं, जिनमें से कुछ असुरक्षित थे और उनका शोषण किया गया था.
- एंबेडेड फ्लैश: पीडीएफ में फ्लैश सामग्री शामिल हो सकती है। फ्लैश में किसी भी भेद्यता का उपयोग एडोब रीडर से समझौता करने के लिए भी किया जा सकता है। 10 अप्रैल, 2012 तक, एडोब रीडर में अपना बंडल फ़्लैश प्लेयर था। मुख्य फ्लैश प्लेयर में तय सुरक्षा खामियां एडोब रीडर के बंडल फ्लैश प्लेयर में हफ्तों बाद तक तय नहीं हो सकती हैं, जिससे सुरक्षा छेद व्यापक रूप से शोषण के लिए खुले हैं। एडोब रीडर अब आंतरिक खिलाड़ी के बजाय आपके सिस्टम पर स्थापित फ़्लैश प्लेयर का उपयोग करता है.
- क्रियाएँ लॉन्च करें: पीडीएफ फाइलों में एक पुष्टिकरण विंडो को पॉप अप करने के बाद किसी भी कमांड को लॉन्च करने की क्षमता थी। एडोब रीडर के पुराने संस्करणों में, एक पीडीएफ फाइल एक खतरनाक कमांड को लॉन्च करने का प्रयास कर सकती है जब तक कि उपयोगकर्ता ओके पर क्लिक करता है। एडोब रीडर में अब एक ब्लैकलिस्ट है जो पीडीएफ फाइलों को निष्पादन योग्य फाइलों को लॉन्च करने से प्रतिबंधित करता है.
- GoToE: पीडीएफ फाइलों में एम्बेडेड पीडीएफ फाइलें हो सकती हैं, जिन्हें एन्क्रिप्ट किया जा सकता है। जब कोई उपयोगकर्ता मुख्य पीडीएफ फाइल को लोड करता है, तो वह तुरंत अपनी एम्बेडेड पीडीएफ फाइल को लोड कर सकता है। यह हमलावरों को अन्य पीडीएफ फाइलों के अंदर दुर्भावनापूर्ण पीडीएफ फाइलों को छिपाने की अनुमति देता है, एंटीवायरस स्कैनरों को छिपाकर उन्हें छिपी हुई फ़ाइल की जांच करने से रोकता है.
- एंबेडेड मीडिया नियंत्रण: फ़्लैश के अलावा, PDF में ऐतिहासिक रूप से Windows Media Player, RealPlayer, और QuickTime मीडिया शामिल हो सकते हैं। यह पीडीएफ को इन एम्बेड करने योग्य मल्टीमीडिया प्लेयर नियंत्रणों में कमजोरियों का फायदा उठाने की अनुमति देगा.
पीडीएफ फाइल फॉर्मेट में कई और विशेषताएं हैं जो इसकी हमले की सतह को बढ़ाती हैं, जिसमें पीडीएफ के अंदर किसी भी फाइल को एम्बेड करने और 3 डी ग्राफिक्स का उपयोग करने की क्षमता भी शामिल है।.
पीडीएफ सुरक्षा में सुधार हुआ है
अब आपको यह समझने की उम्मीद करनी चाहिए कि एडोब रीडर और पीडीएफ फाइलें इतनी सुरक्षा कमजोरियों का स्रोत क्यों रही हैं। पीडीएफ फाइलें साधारण दस्तावेजों की तरह दिख सकती हैं, लेकिन धोखा न खाएं - सतह के नीचे बहुत कुछ हो सकता है.
अच्छी खबर यह है कि पीडीएफ सुरक्षा में सुधार हुआ है। एडोब ने एडोब रीडर एक्स में "संरक्षित मोड" नामक एक सैंडबॉक्स जोड़ा। यह एक सीमित, लॉक-डाउन वातावरण में पीडीएफ चलाता है जहां इसे केवल आपके कंप्यूटर के कुछ हिस्सों तक पहुंच है, न कि आपके पूरे ऑपरेटिंग सिस्टम पर। यह उसी तरह है जैसे क्रोम का सैंडबॉक्सिंग आपके कंप्यूटर के बाकी हिस्सों से वेब पेज प्रक्रियाओं को अलग करता है। यह हमलावरों के लिए बहुत अधिक काम पैदा करता है। उन्हें बस पीडीएफ दर्शक में सुरक्षा भेद्यता खोजने की जरूरत नहीं है - उन्हें एक सुरक्षा भेद्यता ढूंढनी होगी और फिर सैंडबॉक्स में सेंडबॉक्स से बचने और अपने कंप्यूटर के बाकी हिस्सों को नुकसान पहुंचाने के लिए दूसरी सुरक्षा भेद्यता का उपयोग करना होगा। यह करना असंभव नहीं है, लेकिन सैंडबॉक्स पेश किए जाने के बाद से एडोब रीडर में बहुत कम सुरक्षा कमजोरियों की खोज की गई है और उनका शोषण किया गया है.
आप तृतीय-पक्ष पीडीएफ पाठकों का भी उपयोग कर सकते हैं, जो आमतौर पर हर पीडीएफ सुविधा का समर्थन नहीं करते हैं। यह एक ऐसी दुनिया में एक आशीर्वाद हो सकता है जहां पीडीएफ में बहुत सारी संदिग्ध विशेषताएं हैं। क्रोम में एक एकीकृत पीडीएफ दर्शक है जो अपने सैंडबॉक्स का उपयोग करता है, जबकि फ़ायरफ़ॉक्स का अपना एकीकृत पीडीएफ दर्शक है जो पूरी तरह से जावास्क्रिप्ट में लिखा है, इसलिए यह उसी सुरक्षा वातावरण में चलता है जो एक सामान्य वेब पेज करता है.
जबकि हम सोच सकते हैं कि क्या पीडीएफ को वास्तव में इन सभी चीजों को करने में सक्षम होना चाहिए, पीडीएफ सुरक्षा में कम से कम सुधार हुआ है। जावा प्लग-इन के लिए हम जितना कह सकते हैं, उससे अधिक है, जो भयानक है और वर्तमान में वेब पर प्राथमिक हमला वेक्टर है। यदि आपके पास जावा प्लग-इन स्थापित है, तो क्रोम भी जावा सामग्री को चलाने से पहले आपको चेतावनी देता है.