De softwareproducent heeft hiervoor samengewerkt met Microsoft en Google. Specifiek de ontwikkelteams van Office 2010 en van Chrome. Dat kantoorpakket en die browser hebben namelijk elk ook isolatietechnieken, zogeheten sandboxing, legt Brad Arkin hoofd security van Adobe uit aan Webwereld. "We hebben de hele implementatie wel zelf gedaan. Bij Adobe noemen we het Protected Mode."

Nieuwe tussenlaag

De 'sandboxing' van Adobe Reader staat default aan en moet nagenoeg alle huidige exploits tegenhouden. "Het weigert bijvoorbeeld toegang tot het register, en andere schrijfacties in het bestandssysteem van de computer."

Indien er toch schrijfpermissie nodig is, wat het geval kan zijn bij pdf-documenten, dan gebeurt dat via een nieuwe tussenlaag. "Het sandbox-proces moet dan toestemming vragen aan het broker-proces. Dat is een klein, geheel nieuw gemaakt stuk software."

Arkin is niet bezorgd dat die broker een nieuwe zwakke plek wordt. Het zal waarschijnlijk wel een nieuw aanvalsdoelwit zijn. Maar eerder in de vorm van een linie die malwaremakers moeten veroveren nadat ze een gat in Adobe's pdf-software succesvol hebben misbruikt. Dat laatste is al gebeurd, merkt Arkin droogjes op. De pdf-reader van Adobe ligt sinds vorig jaar in toenemende mate onder vuur, van malwaremakers die er gaten in vinden en misbruiken.

Niet heiligmakend

Adobe stelt dat hiermee alle security-ellende nog niet voorbij is. "Het is spannende nieuwe technologie, maar geen 'silver bullet'. Dit werkt bijvoorbeeld niet tegen social engineering of tegen sommige phishing aanvallen. Het helpt wel tegen malafide pdf-bestanden."

In de security-labs van Adobe zijn met de sandboxing alle huidige exploits afgedekt. Hij denkt dat de nieuwe beveiliging beter werkt dan de oude: "Dit blijft wel een effectieve bescherming. De 'bad guys' moeten voortaan namelijk een tweetraps aanval uitvoeren. Eerst het pdf-reader-proces kapen, en dan het broker-proces pakken." Die nieuwe tussenlaag werkt middels policies. Er wordt bepaald wat mag onder welke omstandigheden en waar iets geschreven mag worden buiten de Reader-software, bijvoorbeeld in het register van Windows.

Voor Windows

Deze isolatie voor de Adobe Reader, leessoftware voor pdf-documenten, komt uit voor de Windows-uitvoering. Dat gebeurt met de volgende 'major release' van Reader, maar Arkin kan nog niet aangeven wanneer die wordt uitgebracht. "Ter verduidelijking: Adobe Reader 8 en 9 krijgen de Protected Mode dus niet."

Hij benadrukt dat het nogal een klus was: "Adobe Reader is een grote, complexe applicatie. Dit was geen kwestie van 'even sandboxen'." Een van de struikelblokken was de printfunctionaliteit, zowel voor het afdrukken als het aanmaken van een pdf-document. Daarvoor is relatief veel interactie nodig met het besturingssysteem.

'Geen gebruikersimpact'

"Adobe Reader zit voortaan in een sandbox, die dan alle activiteiten omvat voor het bekijken van een document, inclusief streams, ingebedde video's en JavaScript." De isolatie geldt voor de hele applicatie. Arkin stelt dat de gemiddelde gebruiker niets zal merken van de nieuwe beveiligingstechniek. "Er is geen impact op het prestatieniveau."

In sommige gevallen merkt de gebruiker wel wat. "Bijvoorbeeld voor gebruikers van Windows XP die 'assisted reading' gebruiken." De mogelijkheden van voorleesapplicaties voor blinden zijn niet geschikt gemaakt voor de aankomende aanpassingen van de pdf-reader. "De gebruiker krijgt dan een melding te horen plus instructies hoe de Protected Mode uit te schakelen."

Volgende stappen

In eerste instantie houdt de Protected Mode voor Adobe Reader alleen schrijfacties tegen. Dat wordt uitgebreid middels een kleinere update die volgt op de volgende grote versie met daarin de sandboxing. De zogeheten .1-release brengt ook sandboxing voor leesacties.

Adobe heeft vooralsnog geen plannen om de sandbox-aanpak te verwerken in zijn professionele pdf-pakket Acrobat. Deze keuze is ook ingegeven vanwege het grote aantal gebruikers van de gratis pdf-leessoftware. "Maar de nieuwe PDF Reader kan wel gewoon naast Acrobat draaien en we passen de default actie voor het lezen van pdf-bestanden aan. Reader, of de browser plug-in daarvan, opent pdf's, niet Acrobat."

Mac OS X?

Arkin vertelt dat Acrobat niet per se is uitgesloten, maar dat Adobe eerst afwacht hoe de nieuwe beveiliging uitwerkt. De reactie van malwaremakers wordt afgewacht. "Misschien brengen we de Protected Mode hierna naar Adobe Reader op Unix, of op Mac OS X."