• Tweet

Un visor de Microsoft o un visor básico de Adobe, sería proteger a los usuarios de algunos exploits para PDF, dice investigador de F-Secure.

Microsoft debería agregar un visor de PDF básico a Windows para ayudar a proteger a los usuarios del incremento de los ataques que aprovechan las fallas en Adobe Reader, dijo un investigador de seguridad el viernes.

"Apple lo hace con su aplicación [Vista Previa] y Microsoft debería, también hacerlo," dijo Sean Sullivan asesor de seguridad con el proveedor de operación de antivirus finlandés F-Secure de América del Norte. "Sólo quiero ver y leer archivos PDF. No quiero escucharlos u observarlos o abrir ejecutables de ellos o ejecutar JavaScript", añadió Sullivan, en referencia a varias características avanzadas del propio visor PDF de Adobe, el Reader gratuito, admite.

Algunas de esas características, incluido el soporte de lectura de código JavaScript y la especificación de la función /Launch del PDF, han sido explotadas por atacantes en un número cada vez mayor desde 2008. Según estadísticas del proveedor de antivirus McAfee, las vulnerabilidades PDF subieron más de ocho veces en 2009 con respecto al año anterior, una tendencia que ha continuado en 2010.

La función /Launch, la cual permite ejecutar los documentos PDF incrustados en archivos ejecutables, está siendo explotada por los atacantes en una campaña generalizada de mensajes malintencionados que intentan engañar a los usuarios para abrir un PDF alterado.

Sullivan explicó su caso con más detalle en un post de seguridad del blog F-Secure el jueves. "Sus clientes están cansados de los exploits y las complicaciones que incluyen muchos lectores de PDF actuales", dijo Sullivan en una misiva "Estimado Microsoft”.

"Ellos deben escribir un visor muy simplificado, que sólo muestre una vista previa del PDF", añadió Sullivan el viernes en una entrevista telefónica. "Ni siquiera se necesita construirla en el sistema operativo. Pueden hacer una descarga opcional como lo hicieron en el "Guardar como PDF", en la opción adicional para el Office."

Aunque Microsoft intentó añadir soporte para guardar documentos en el formato de archivo PDF en Office 2007, se vio obligada a dar marcha atrás cuando Adobe se resistió. En su lugar, Microsoft construyó un "Guardar como PDF" un complemento que puso a disposición de forma gratuita. Después de que Adobe ha presentado sus especificaciones PDF/A de la ISO (International Organization for Standardization) en 2008, Microsoft agregó "Guardar como PDF" a su conjunto con el lanzamiento de Office 2007 Service Pack 2 (SP2) de hace un año. La misma característica está disponible en Office 2010.

Office no puede abrir documentos PDF sin necesidad de software de terceros o complementos, sin embargo la vista previa de Windows 7 y Windows Vista tampoco mostrará el formato PDF. En su lugar, Microsoft ha promovido, con poco éxito, un sustituto para el pdf llamado XPS (XML Paper Specification), un visor de XPS se incluye con Windows 7, por ejemplo.

"La especificación PDF ha sido completamente libre de regalías desde el año 2006," dijo Sullivan, y señaló que Microsoft no tendría que pagar a Adobe si lo hiciera elaborar un oficio de sí mismo. "No hay razón para que no se puede crear un visor de PDF nativo. Incluso podría permitir a los usuarios alternar entre la activación y apagado, si estuvieran preocupados por cuestiones de la defensa de la competencia."

Varias veces, Sullivan comparó su visión de un visor de PDF para la vista preliminar de Windows, que la aplicación que Apple incluye con Mac OS X. Sin embargo, la vista previa no está libre de errores: en marzo, el investigador Charlie Miller dijo que había encontrado más de 60 archivos PDF en la Web que se podría utilizar para chocar y explotar probablemente la vista preliminar.

Aun así Sullivan sostiene que Microsoft, o en su defecto, el mismo Adobe, debe desarrollar un visor de PDF básico, que omita la funcionalidad y características que han aprovechado los piratas informáticos. "Ojalá Adobe creara dos versiones diferentes del Reader, uno puede ser "Reader Lite" que es realmente justo un visor," dijo.