Chrome waarschuwt u vaak: "Dit type bestand kan schade toebrengen aan uw computer" wanneer u iets probeert te downloaden, zelfs als het een PDF-bestand is . Maar hoe kan een PDF-bestand zo gevaarlijk zijn - is een PDF niet alleen een document met tekst en afbeeldingen?

PDF-lezers zoals Adobe Reader zijn de afgelopen jaren een bron van veel beveiligingsproblemen geweest. Dit komt omdat een PDF-bestand niet alleen een document is - het kan ook scripts, ingesloten media en andere dubieuze zaken bevatten.

PDF's zijn niet alleen documenten

Het PDF-bestandsformaat is eigenlijk heel gecompliceerd. Het kan veel dingen bevatten, niet alleen tekst en afbeeldingen, zoals je zou verwachten. PDF ondersteunt vele functies die het waarschijnlijk niet zou moeten doen, die in het verleden veel gaten in de beveiliging hebben geopend.

• JavaScript : PDF's kunnen JavaScript-code bevatten, dezelfde taal die door webpagina's in uw browser wordt gebruikt. PDF's kunnen dynamisch zijn en code uitvoeren die de inhoud van de PDF wijzigt of de functies van de PDF-viewer manipuleert. Historisch gezien zijn veel kwetsbaarheden veroorzaakt door PDF's die JavaScript-code gebruiken om Adobe Reader te exploiteren. De JavaScript-implementatie van Adobe Reader bevat zelfs Adobe-specifieke JavaScript-API's, waarvan sommige onveilig zijn en zijn uitgebuit.
• Ingesloten Flash : PDF's kunnen ingesloten Flash-inhoud bevatten. Elke kwetsbaarheid in Flash kan ook worden gebruikt om Adobe Reader in gevaar te brengen. Tot en met 10 april 2012 bevatte Adobe Reader zijn eigen gebundelde Flash Player. Beveiligingsfouten in de hoofd-Flash Player zijn mogelijk pas weken later in de meegeleverde Flash Player van Adobe Reader hersteld, waardoor beveiligingslekken wijdverbreid zijn voor misbruik. Adobe Reader gebruikt nu de Flash Player die op uw systeem is geïnstalleerd in plaats van een interne speler.
• Start Acties : PDF-bestanden hadden de mogelijkheid om elke opdracht te starten na het opduiken van een bevestigingsvenster. In oudere versies van Adobe Reader kon een PDF-bestand proberen een gevaarlijk commando te starten zolang de gebruiker op OK klikte. Adobe Reader bevat nu een zwarte lijst die PDF-bestanden beperkt voor het starten van uitvoerbare bestanden.

• GoToE : PDF-bestanden kunnen ingesloten PDF-bestanden bevatten die kunnen worden gecodeerd. Wanneer een gebruiker het PDF-hoofdbestand laadt, kan het zijn ingebedde PDF-bestand onmiddellijk laden. Hiermee kunnen aanvallers kwaadwillende PDF-bestanden in andere PDF-bestanden verbergen en antivirusscanners voor de gek houden door te voorkomen dat ze het verborgen PDF-bestand onderzoeken.
• Embedded-mediabesturing : naast Flash kunnen PDF's in het verleden Windows Media Player, RealPlayer, bevatten en QuickTime-media. Hierdoor kan een PDF kwetsbaarheden misbruiken in deze ingebouwde multimedia-spelerbesturing.

Er zijn veel meer functies in het PDF-bestandsformaat die het aanvalsoppervlak vergroten, inclusief de mogelijkheid om elk bestand in een PDF in te voegen en 3D-afbeeldingen te gebruiken.

PDF-beveiliging is verbeterd

U zou nu hopelijk begrijpen waarom Adobe Reader en PDF-bestanden een bron van zoveel beveiligingskwetsbaarheden zijn geweest. PDF-bestanden kunnen eruit zien als eenvoudige documenten, maar laten u niet misleiden - er kan veel meer onder de oppervlakte gebeuren.

Het goede nieuws is dat de PDF-beveiliging is verbeterd. Adobe heeft in Adobe Reader X een sandbox met de naam "Protected Mode" toegevoegd. Hiermee wordt de PDF uitgevoerd in een beperkte, vergrendelde omgeving waar het alleen toegang heeft tot bepaalde delen van uw computer, niet uw volledige besturingssysteem. Het lijkt op hoe sandboxing van Chrome webpaginaprocessen isoleert van de rest van uw computer. Dit creëert veel meer werk voor aanvallers. Ze hoeven niet alleen een beveiligingslek te vinden in de PDF-viewer - ze moeten een beveiligingslek vinden en vervolgens een tweede beveiligingslek in de sandbox gebruiken om aan de sandbox te ontsnappen en de rest van je computer te beschadigen. Dit is niet onmogelijk om te doen, maar er zijn veel minder beveiligingskwetsbaarheden ontdekt en misbruikt in Adobe Reader sinds de sandbox is geïntroduceerd.

U kunt ook PDF-readers van derden gebruiken, die over het algemeen niet elke PDF-functie ondersteunen. Dit kan een zegen zijn in een wereld waar PDF zoveel twijfelachtige functies bevat. Chrome heeft een geïntegreerde PDF-viewer die de sandbox gebruikt, terwijl Firefox een eigen geïntegreerde PDF-viewer heeft die volledig in JavaScript is geschreven, dus het werkt in dezelfde beveiligingsomgeving als een normale webpagina.

Hoewel we ons kunnen afvragen of PDF's echt al deze dingen zouden moeten doen, is de PDF-beveiliging op zijn minst verbeterd. Dat is meer dan we kunnen zeggen voor de Java-invoegtoepassing, die verschrikkelijk is en momenteel de primaire aanvalsvector op internet is. Chrome waarschuwt u voordat Java-inhoud wordt uitgevoerd als u de Java-invoegtoepassing ook hebt geïnstalleerd.

Selecteren, opmaken en met tekst werken op iPhone

Typen op een telefoon is zelden leuk. Gelukkig maakt iOS het een beetje gemakkelijker met opties om te kopiëren en plakken, tekst te delen, woorden op te zoeken en verschillende andere opmaakopties uit te voeren. U kunt als volgt met tekst op uw iPhone of iPad werken. Tekst selecteren op een iPhone is eenvoudig een kwestie van uw vinger op het item plaatsen dat u wilt markeren totdat u de twee selectiegrepen krijgt.

(how-to)

Waarom uw pc de verjaardagsverjaardag van Windows 10 nog niet heeft ontvangen en hoe u deze kunt downloaden

Windows 10 wordt verondersteld zichzelf automatisch bij te werken. Maar het kan weken of langer duren voordat een grote update zoals de Anniversary Update uw pc bereikt. Dit is de reden waarom dat gebeurt - en hoe je wacht kunt overslaan. Je hebt onlangs een upgrade naar Windows 10 of de november-update uitgevoerd GERELATEERD: Hoe je meer dan 10 GB schijfruimte vrijmaakt na het installeren van Windows 10's verjaardagsvergroting Als u onlangs uw pc hebt geüpgraded naar Windows 10 of hebt bijgeschakeld van de eerste versie van Windows 10 naar de Windows 10 november-update, kunt u 30 dagen lang niet upgraden naar de verjaardagsverjaardag.

(how-to)