La semana pasada el investigador Didier Stevens dio a conocer un problema de los archivos PDF que permite la ejecución de códigos adjuntos, esta característica podría ser aprovechada por atacantes para infectar equipos.
En su blog demostró el funcionamiento con los lectores de Adobe y Foxit, ejecutando un archivo .EXE al abrir un PDF. Ambos programas muestran una advertencia antes de ejecutar los archivos, pero la misma podría ser ignorada o aceptarse por alguna razón.
Para evitar estas situaciones, en Adobe Reader es posible desactivar la ejecución de aplicaciones externas:
Simplemente hay que ir a «Edición» / «Preferencias«, seleccionar «Administrador de confianza» en la lista izquierda y luego desactivar la opción «Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas«.
De esta forma los documentos se abrirán, pero si intentan ejecutar archivos adjuntos la acción no se llevará a cabo y se notificará al usuario. Volviendo al PoC de Stevens, la advertencia que se muestra ahora es la siguiente:
El archivo no se ejecutó.
En Foxit no encontré la misma opción, pero de alguna forma se puede hacer, estoy buscando información al respecto. Actualización (mayo 2010): la última versión de Foxit agrega esta capa de seguridad por defecto.
Por último recuerda utilizar siempre la última versión de los programas y desactivar las características de lectura JavaScript, códigos que también se pueden incrustar en los PDF para lanzar ataques.