- Windows trenger egen pfd-leser

- Windows trenger egen pfd-leser

Sikkerhetsforsker mener enklere pdf-lesere ville løst mange problemer.

Sean Sullivan fra F-Secures avdeling i Nord-Amerika mener en innebygget pdf-leser i Windows ville beskyttet brukere fra oppgangen i angrep rettet mot sikkerhetshull i Adobe Reader.

- Apple har dette med sin Preview-applikasjon, og det burde Microsoft også ha. Jeg vil bare titte på og lese pdf-er. Jeg vil ikke høre på dem eller starte kjørbare filer fra dem eller kjøre Javascript, sier han, med referanse til de avanserte funksjonene i Adobes gratisprogram.

Noen av disse funksjonene har blitt brukt flittig i angrep, en trend som har økt fra 2008 til 2009, og som har fortsatt å vokse inn i 2010.

Enkelt

Sullivan har skrevet et åpent brev til Microsoft, der han skriver:

- Kundene deres er lei av sårbarhetsutnyttelser og komplikasjonene som ligger i så mange av pdf-leserne i dag. De burde ha tilgjengelig en enkel leser, en som bare forhåndsviser pdf-er.

Han utdyper overfor Computerworlds nyhetstjeneste:

- De trenger ikke en gang legge det inn i operativsystemet. De kan gjøre det til en mulig nedlasting, slik som med ’Lagre som PDF'-tillegget for Office.

Fronter egen XPS

Office kan ikke åpne PDF-dokumenter uten å installere tredjeparts funksjonalitet, og heller ikke Windows Vista eller Windows 7 kan forhåndsvise pdf-er. Microsoft har i stedet frontet sin egen XPS (XML Paper Specification), men det er ikke til å stikke under stol at PDF-formatet har vesentlig større markedsandeler. Sullivan savner handling.

- PDF-spesifikasjonene har vært royaltyfrie siden 2006, så Microsoft hadde ikke måttet betale Adobe for å lage sin egen fremviser. Det er ingen grunn som stopper dem fra å skape en egen innebygd pdf-leser, sier han.

Også Ole Tom Seierstad, sikkerhetssjef i Microsoft Norge, velger å fronte XPS.

- Vi har vårt eget produkt, XPS, for distribusjon av ikke-redigerbare filer. Der kan du lagre signerte, ikke-redigerbare dokumenter fra våre Office-produkter, sier han.

- Men hva med Sullivans ønske om en Microsoft-utviklet PDF-leser?

- Det for være hans uttalelser. PDF er Adobes format.

- Men det er jo royality-fritt?

- Ja, men det er fortsatt et Adobe-produkt. Vi har som sagt XPS.

Eventuelt Adobe

Sullivan viser flere ganger til Apples innebygde løsning i Mac Os X. Men selv denne er ikke fri for hull. I mars kunngjorde sikkerhetsforsker Charles Miller at han hadde funnet mer enn 60 pdf-filer på nettet som kunne brukes til å krasje og trolig utnytte Apples Preview-program.

Like fullt står Sullivan på at Microsoft, eller eventuelt Adobe selv, burde lage en nedstrippet versjon av en pdf-leser som utelater funksjonaliteten hackere har utnyttet.

- Jeg skulle ønske Adobe kunne lage to forskjellige versjoner, eventuelt en ’Reader Lite’ som bare er et visningsprogram, sier han.

Les om: