Chrome advarer deg ofte "Denne typen fil kan skade datamaskinen din" når du prøver å laste ned noe, selv om det er en PDF-fil . Men hvordan kan en PDF-fil være så farlig - er ikke en PDF bare et dokument med tekst og bilder?

PDF-lesere som Adobe Reader har vært en kilde til mange sikkerhetsproblemer gjennom årene. Dette skyldes at en PDF-fil ikke bare er et dokument - det kan inneholde skript, innebygd media og andre tvilsomme ting.

PDF-filer er ikke bare dokumenter

PDF-filformatet er faktisk svært komplisert. Det kan inneholde mange ting, ikke bare tekst og bilder, som du kanskje forventer. PDF støtter mange funksjoner som det uten tvil burde ikke ha, som har åpnet mange sikkerhetshull tidligere.

• JavaScript : PDF-filer kan inneholde JavaScript-kode, som er det samme språket som brukes av websider i nettleseren din. PDF-filer kan være dynamiske og kjøre kode som endrer PDF-innholdet eller manipulerer PDF-visningsprogrammets funksjoner. Historisk har mange sårbarheter blitt forårsaket av PDF-filer med JavaScript-kode for å utnytte Adobe Reader. Adobe Reader-JavaScript-implementeringen inneholder selv Adobe-spesifikke JavaScript-APIer, hvorav noen var usikre og har blitt utnyttet.
• Embedded Flash : PDF-filer kan inneholde innebygd Flash-innhold. Eventuelt sårbarhet i Flash kan også brukes til å kompromittere Adobe Reader. Inntil 10. april 2012 inneholdt Adobe Reader sin egen bundlede Flash Player. Sikkerhetsfeil som er fastsatt i hoved Flash Player, har kanskje ikke blitt løst i Adobe Reader's bundlede Flash Player til noen uker senere, slik at sikkerhetshullene er åpne for utnyttelse. Adobe Reader bruker nå Flash Player installert på systemet ditt i stedet for en intern spiller.
• Start Actions : PDF-filer hadde muligheten til å starte en kommando etter å ha hoppet opp et bekreftelsesvindu. I eldre versjoner av Adobe Reader kan en PDF-fil forsøke å starte en farlig kommando så lenge brukeren klikket OK. Adobe Reader inneholder nå en svarteliste som begrenser PDF-filer fra å starte kjørbare filer.

• GoToE : PDF-filer kan inneholde innebygde PDF-filer, som kan krypteres. Når en bruker laster inn hoved PDF-filen, kan den umiddelbart laste inn den innebygde PDF-filen. Dette tillater angripere å skjule skadelige PDF-filer i andre PDF-filer, lure antivirusskannere ved å hindre dem fra å undersøke den skjulte PDF-filen.
• Embedded Media Controls : I tillegg til Flash kan PDF-filer historisk inneholde Windows Media Player, RealPlayer , og QuickTime media. Dette vil tillate en PDF å utnytte sårbarheter i disse innebygde multimediespillerkontrollene.

Det finnes mange flere funksjoner i PDF-filformatet som øker angrepsoverflaten, inkludert muligheten til å legge inn en fil i en PDF og bruke 3D-grafikk.

PDF-sikkerhet har forbedret

Du bør nå forhåpentligvis forstå hvorfor Adobe Reader og PDF-filer har vært en kilde til så mange sikkerhetsproblemer. PDF-filer kan se ut som enkle dokumenter, men ikke bli lurt - det kan gå mye mer under overflaten.

Den gode nyheten er at PDF-sikkerhet har forbedret seg. Adobe la til en sandkasse med navnet "Beskyttet modus" i Adobe Reader X. Dette kjører PDF-filen i et begrenset, låst ned-miljø der det bare har tilgang til bestemte deler av datamaskinen, ikke hele operativsystemet. Det ligner på hvordan Chromes sandboxing isolerer websiden prosesser fra resten av datamaskinen. Dette skaper mye mer arbeid for angriperne. De trenger ikke bare å finne et sikkerhetsproblem i PDF-visningsprogrammet - de må finne et sikkerhetsproblem og deretter bruke et andre sikkerhetsproblem i sandkassen for å unnslippe sandkassen og skade skade på resten av datamaskinen. Dette er ikke umulig å gjøre, men mange færre sikkerhetsproblemer er oppdaget og utnyttet i Adobe Reader siden sandkassen ble introdusert.

Du kan også bruke PDF-lesere fra tredjepart, som generelt ikke støtter alle PDF-funksjoner. Dette kan være en velsignelse i en verden der PDF inneholder så mange tvilsomme funksjoner. Chrome har en integrert PDF-visningsprogram som bruker sin sandkasse, mens Firefox har sin egen integrerte PDF-visningsprogram som er skrevet helt i JavaScript, slik at den går i samme sikkerhetsmiljø som en vanlig nettside gjør.

Selv om vi kan lure på om PDF-filer virkelig bør kunne gjøre alle disse tingene, har PDF-sikkerhet i det minste forbedret seg. Det er mer enn vi kan si for Java-plugin-modulen, som er forferdelig og er for tiden den primære angrepvektoren på nettet. Chrome advarer deg før du kjører Java-innhold hvis du også har installert Java-plugin-modulen.

Slik invitere alle venner til Facebook-event invitere eller blokkere dem

Hvis du noen gang har opprettet en Facebook-hendelse, vet du at det kan være vanskelig å invitere flere enn noen få venner på en gang. Heldigvis er det en ny måte å enkelt invitere nesten alle vennene dine på i to klikk. Ønsker du ikke å motta hendelsesinvitasjoner? Du kan også blokkere dem. Facebook-hendelser er en fin måte å la alle få vite om kommende hendelser.

(how-to)

Slik lager du Nintendo 3DS batteri lenger

Nintendos nye 3DS XL lover 3,5 til 7 timers batterilevetid, noe som er ganske stort. Disse tipsene hjelper deg med å få så mye batterilevetid som mulig ut av 3DS, uansett om du er gaming eller det bare sitter i lommen. Dette rådet gjelder alle modeller av Nintendo 3DS - New 3DS XL, New 3DS, 3DS XL, 3DS, og til og med 2DS.

(how-to)