В нескольких программах, которые предназначены для работы с PDF-файлами, обнаружена серьезная уязвимость, которая может приводить к возникновению трудностей в работе программы, ее зависанию и вообще экстренному закрытию. Эта уязвимость была обнаружена еще почти 7 лет назад и до сих пор полностью не устранена.
Немецкому исследователю Андреасу Богку еще в 2011 году удалось обнаружить опасную уязвимость, которая затрагивает компонент, используемый для просмотра PDF-документов Evince на операционных системах Linux. Эксплуатация этого бага может привести к зависанию программы или вовсе к прекращению ее работы. Сразу же после обнаружения специалист сообщил разработчикам данного ПО об обнаружении уязвимости и они позаботились об ее устранении. Тогда эта уязвимость не относилась к критическим или серьезным проблемам безопасности, так как на тот момент она могла эксплуатироваться только на одном приложении, разработанном специально для десктопной операционной системы Linux. К тому же, это приложение тогда имело очень небольшую аудиторию, поэтому серьезного ущерба баг принести не мог.
Уже через 7 лет выяснилось, что обнаруженная в 2011 году проблема имеет более широкий масштаб и она является более серьезной, нежели считалось ранее. На этот раз проблему в программах для работы с PDF-файлами обнаружил исследователь информационной безопасности Ханно Бек. Ему удалось обнаружить уязвимость не в одной, а сразу в нескольких программах, который сегодня могут считаться очень популярными.
Проблема в программах для просмотра PDF-файлов затрагивает очень много элементов и инструментов, поэтому может считаться серьезной угрозой безопасности пользователей. В частности, проблема касается непосредственно движка рендеринга PDF-документов в браузере Google Chrome, который называется PDFium, библиотеки Pdf.js, которая тоже используется для рендеринга документов, но на этот раз в браузере Mozilla Firefox и на популярном ресурсе GitHub.
На этом все не закончилось. Уязвимость имеет настолько широкий охват, что она может поражать даже современный веб-обозреватель Microsoft Edge, а именно библиотеку под названием WinRT PDF. Кроме фирменного браузера она также используется непосредственно в самой операционной системе Windows 10 и Windows 8, где является парсером PDF по умолчанию.
Как видим, почти все инструменты и программное обеспечение, используемое для работы с PDF-документами, оказалось уязвимым. Но нашлись и такие программы, которые оказались совершенно не уязвимыми перед данным багом. К такому ПО относится Adobe Reader и фирменное приложение для просмотра PDF-документов, встроенное в операционную систему MacOS.
Большинство производителей браузеров уже устранили описанную выше уязвимость. Например, компания Mozilla включила очередную партию патчей с исправлениями и заплатками для этой дыры еще в версию своего фирменного браузера Firefox 57. Другие разработчики тоже позаботились о том, чтобы исправить возникшую проблему. Именно поэтому чтобы не столкнуться с описанными проблемами и не подвергать себя ненужной опасности, специалисты советуют пользователям своевременно обновлять свои браузеры и обязательно устанавливать все выходящие патчи.