Jeszcze nie tak dawno pliki w formacie PDF były uznawane za "bezpieczne", w przeciwieństwie do plików Microsoft Office (Word, Excel, ...) gdzie straszyły makrowirusy, a później błędy w parserach plików. Obecnie wygląda to nieco inaczej: PDF Most Common File Type in Targeted Attacks.
Świat się zmienia: PDF jest... niedobry?
Microsoft odrobił lekcję. Nadal zdarzają się błędy w obsłudze "starych" formatów plików (bo formaty te są zbyt skomplikowane), ale pojawiły się nowe, "bezpieczne" formaty, pojawiło się Microsoft Office Isolated Conversion Environment do bezpiecznej konwersji plików ze starych formatów na nowe. W międzyczasie format PDF stawał się coraz bardziej skomplikowany (ciekawe rzeczy o PDF pisze Didier Stevens, warto rzucić okiem również na jego narzędzia), czego rezultaty widać dziś w statystykach. Tak, są to specyficzne statystyki, dotyczą "targeted attacks". Nie zmienia to jednak faktu, że nie można już plików PDF uznawać z definicji za bezpieczne. Do znudzenia można powtarzać, że bezpieczeństwo to nie stan, bezpieczeństwo to proces. Coś, co było wystarczająco dobre wczoraj, nie musi być wystarczające dziś lub jutro. Pamiętajmy o tym...
