Tras unas semanas bastante movidas sobre Adobe, el formato PDF y las vulnerabilidades, se confirma que el fabricante está preparando una gran actualización para el Reader que publicará a finales de año. La nueva versión del Reader, la número 10, intenta suponer un punto de inflexión dentro de las distintas versiones del software desarrollado por Adobe para la visualización de archivos en PDF, y según las informaciones que han ido apareciendo, implica el rediseño completo de la aplicación para mejorar sus prestaciones en cuanto a seguridad y evitar las famosas vulnerabilidades asociadas a al renderizado de fuentes, la ejecución de Javascript o el parseo de imágenes.
Este nueva versión de Adobe Reader culminará 18 meses de trabajo volcados en el desarrollo y en el testeo de la aplicación, por lo que el fabricante espera minimizar la probabilidad de que puedan explotarse vulnerabilidades del producto, si bien admite que, aunque bajo, siempre existe cierto riesgo.
Entre lo más destacado de esta nueva versión se encuentra una función de caja de arena (sandbox) que, según el fabricante, protegerá la aplicación de ataques intenten manipular el registro del PC o del sistema de archivos. Esta función estará habilitada por defecto, por lo que cualquier exploit desarrollado para insertar código malicioso quedará atrapado en esta caja, al menos es lo que aseguró Brad Arkin, el director de seguridad y privacidad de productos en Adobe.
El sandbox no es algo nuevo, de hecho ha sido usado con anterioridad en aplicaciones de Google y Microsoft, por lo que Adobe ha trabajado en su desarrollo para el Reader en colaboración con estas compañías.
Cualquier función a ejecutar desde Reader quedará aislada en el sandbox, de tal forma, que éste sea el que se comunique con el sistema, por medio de un agente que haga de intermediario. Este agente utilizaría un conjunto de políticas de seguridad muy restrictivas que serán las que determinen las acciones que se ejecuten y las que serán denegadas. Por tanto, con este nuevo sistema, cualquier ataque tendría que pasar por encima de las restricciones definidas en la política de seguridad del equipo, lo cual dificultará bastante que los ataques conocidos en Reader puedan volver a ser explotados.
Si bien Adobe es optimista tras la inversión de 18 meses de trabajo en estas nuevas barreras que mejoren la seguridad de uno de sus productos más extendidos, el fabricante reconoce que estas mejoras pueden ser, también, un reclamo para que se inviertan esfuerzos en buscar nuevos resquicios y vulnerabilidades, si bien esperan que esta vez sea algo más complicado.
Sólo el tiempo dirá si la inversión ha valido o no la pena, estaremos atentos a cuando salga el nuevo Reader.
Foto: SCForum