Adobe biztonsági technikai dokumentum
Az Adobe Reader és Adobe Acrobat új szintre emeli a PDF dokumentumok biztonságát Az Acrobat X termékcsalád magasra teszi a mércét Az Adobe Reader X és az Adobe Acrobat X új biztonsági szolgáltatásainak köszönhetően csökken a PDF-alapú kártevők jelentette kockázat.
Az Adobe Reader X és Adobe Acrobat X a PDF dokumentumok – és az Ön adatainak – biztonságát teljesen új szintre emeli. Az Adobe Reader X és az Adobe Acrobat X, amelyek fejlesztésekor komoly hangsúlyt kapott a biztonság, jobb alkalmazásbiztonságot nyújtanak a védett módnak és új képességeknek köszönhetően, amelyek szigorúbb vezérlést és a Microsoft® Windows® és Apple Mac OS X operációs rendszerek architektúrájával való szorosabb integrációt, továbbá továbbfejlesztett telepítési és felügyeleti eszközöket biztosítanak. Emellett az Adobe Secure Software Engineering Team (ASSET) és az Adobe Product Security Incident Response Team (PSIRT) együttműködése is biztosítja az adatok védelmét és biztonságát az Adobe termékek használatakor. Belső biztonsági törekvéseink kiegészítéseként az Adobe a Microsoft Active Protections Program (MAPP) résztvevője, ezzel biztosítva a termékek sebezhetőségével kapcsolatos előzetes információk megosztását a biztonságiszoftver-szolgáltatókkal, például vírusvédelmi és behatolásérzékelési és -védelmi forgalmazókkal, így az egész iparág összefoghat az Adobe Acrobat X és Adobe Reader X biztonsági rései által jelentett kockázat csökkentése érdekében.
Továbbfejlesztett alkalmazásbiztonság Az Adobe Reader X védett módja Az Adobe a védett móddal, a „sandbox” technológia élvonalbeli megvalósításával védi számítógépét és a szervezet rendszereit a rosszindulatú, a PDF formátum segítségével a számítógép fájlrendszerébe író kódok ellen. A „sandbox” technológiáról A biztonsági szakemberek által nagyra becsült sandbox technológia azt jelenti, hogy a rendszer létrehoz egy elszigetelt végrehajtási környezetet az alacsony szintű jogosultságokkal vagy engedélyekkel rendelkező programok futtatásához. Az elszigetelt futtatási környezetek megvédik a felhasználók rendszerét a nem megbízható, végrehajtható kódot tartalmazó dokumentumok által okozott károktól. Az Adobe Reader esetén a nem megbízható tartalom bármilyen PDF dokumentumot és az általa indított folyamatokat jelenti. Az Adobe Reader X az összes PDF dokumentumot esetlegesen sérült dokumentumként kezeli, és az összes feldolgozást az elszigetelt környezetre korlátozza.
Az Adobe Reader X indításakor alapértelmezés szerint engedélyezett védett mód segítségével megakadályozhatja, hogy a támadók kártevőszoftvereket telepítsenek a rendszerre, így csökkentheti az esetleges biztonsági fenyegetések kockázatát. A védett mód konkrétan a programok számára biztosított hozzáférés szintjét korlátozza, ezzel védi a Microsoft Windows operációs rendszert futtató rendszereket a rosszindulatú PDF-fájloktól, amelyek a számítógép rendszerébe írhatnak, fájlokat törölhetnek vagy más módon módosítják a rendszerinformációkat.
Felhasználói résztvevő
Operációs rendszer Hívás
Reader átviteli folyamata
API-felületek
Új megbízhatósági határ Megnevezett felületek
PDF résztvevő
Olvasás
Olvasás/írás (korlátozott)
Fájlrendszer
Sandbox folyamat Beállítás jegyzék
Adobe JavaScript vezérlők Az Adobe JavaScript vezérlők a következőkre használhatók: • A JavaScript motor be- vagy kikapcsolása. • A JavaScript által elindított URLcímek engedélyezése vagy tiltása. Kiemelt jogosultságokkal rendelkező és más engedélyektől független JavaScript végrehajtásának szabályozása. • Kiemelt jogosultságokkal rendelkező JavaScript engedélyezése hitelesített dokumentumokban. Az Adobe lehetővé teszi, hogy igény szerint kikapcsolhassa ezeket korlátozásokat megbízható helyek – fájlok, mappák és számítógépek – esetén.
A vállalat folyamatosan arra törekszik, hogy az Adobe Secure Product Lifecycle (SPLC) folyamat során a termék élettartamának minden egyes fázisába integrálja a biztonságot, így az Adobe rendszeresen ellenőrzi a meglévő kódokat és biztonsági szempontból javítja azokat, ha szükséges, tovább növelve ezzel az alkalmazásbiztonságot és az adatok védelmét az Adobe termékek használatakor.
JavaScript-végrehajtás vezérlése Az Adobe Acrobat X termékcsalád a JavaScript-végrehajtás kezelésének kifinomultabb és részletesebb szabályozását teszi lehetővé Windows és Mac OS X környezetben egyaránt. Az Adobe JavaScript Blacklist Framework segítségével a JavaScript kódok az üzleti munkafolyamatok részeként használhatók, miközben a felhasználók és a rendszerek védettek az adott JavaScript API-hívásokra irányuló támadásoktól. Ha egy adott JavaScript API-hívást hozzáad a feketelistához, a JavaScript teljes letiltása nélkül blokkolhatja annak végrehajtását. Emellett megakadályozhat egyes felhasználókat abban, hogy felülírhassák egy adott JavaScript API-hívás blokkolásával kapcsolatos döntését, így a teljes vállalatot védheti a rosszindulatú kódoktól. Windows környezetekben a rendszer a Windows beállításjegyzékében tárolja a listát; a Mac OS X környezetekben a Mac OS X FeatureLockdown fájljában.
2
Tartományközi konfiguráció Alapértelmezés szerint az Adobe Acrobat X termékcsalád letiltja a nem korlátozott tartományközi hozzáférést a Microsoft Windows és Mac OS ügyfelek számára egyaránt, így megakadályozza a támadókat abban, hogy a gazdag PDF-fájlokat kihasználva egy másik tartományban lévő erőforrásokhoz férjenek hozzá. A kiszolgálóalapú tartományközi házirendből származó fájlok beépített támogatásának használatával engedélyezheti az Adobe Acrobat X és az Adobe Reader X számára az adatok kezelését a tartományok között. Ez a tartományközi házirendből származó fájl – egy XML dokumentum – a távoli tartományban található és hozzáférést biztosít a forrástartományhoz, továbbá engedélyezi az Adobe Acrobat X és Adobe Reader X számára a tranzakció folytatását. A következő esetekben érdemes engedélyezni az Adobe tartományközi támogatását: • Igény szerinti tartományközi hozzáférésre van szüksége és más szolgáltatásokat is használni kíván, például a digitális tanúsítvány alapján történő felismerést. • Központilag egyetlen kiszolgálóalapú helyről kívánja kezelni a tartományközi hozzáférési jogosultságokat. • Olyan munkafolyamatokat kíván megvalósítani, amelyek több tartományból származó és űrlapadatok visszaadására vonatkozó adatkérelmet, SOAP-kérelmeket, médiaátviteli hivatkozásokat és Net.HTTP kérelmeket tartalmaznak. A felhasználó megnyit egy adott tartományban lévő fájlt, és a fájl egy másik tartományból származó adatokat próbál betölteni.
Az a.com és b.com közötti kommunikációt a tartományközi házirend fájljogosultságain alapuló kapcsolatok engedélyezésével lehet szabályozni.
1
Böngészés
4
Feltöltés
2
Házirendjogosultság
3
Adatok olvasása
a.com
SWF, PDF stb.
b.com/crossdomain.xml űrlapadatok, tartalom stb.
Felhasználóbarát biztonsági riasztások Az Adobe Acrobat X termékcsalád a biztonsági riasztások felhasználóbarát megoldását alkalmazza a kevésbé zavaró sárga üzenetsáv, a Yellow Message Bar (YMB) bevezetésével. A YMB a hagyományosan megjelenő párbeszédpaneleket helyettesíti, amelyek eltakarják az oldal tartalmát. Ezzel az új megoldással a felhasználó könnyebben tekintheti meg a riasztást és könnyebben válaszolhat rá. Az Adobe Acrobat X és Adobe Reader X alkalmazásokban a YMB sáv a dokumentum tetején jelenik meg a figyelmeztető- vagy hibaüzenettel együtt. A felhasználó kiválaszthatja, hogy az adott dokumentum „egyszer” vagy „mindig” megbízható. A „mindig” lehetőség kiválasztása esetén a dokumentumot a rendszer az alkalmazás kiemelt jogosultságokkal rendelkező dokumentumainak listájára helyezi. Ha a fokozott biztonság engedélyezve van és a PDF fájl nincs beállítva kiemelt jogosultságú (pl. megbízható) helyként, a YMB sáv megjelenik, amikor a fájl egy kockázatokkal járó műveletet próbál végrehajtani, például: • tartományközi hozzáférés indítása, • JavaScript futtatása, • JavaScript által meghívott URL indítása, • feketelistán található JavaScript API hívása, • adatok beillesztése, • parancsfájlok beillesztése, • beágyazott korábbi formátumú multimédia lejátszása.
3
A „Beállítások” gomb segítségével a felhasználók beállíthatják egy dokumentum megbízhatósági szintjét, amely lehet folyamatos, egyszeri vagy állandó. Vállalati szinten előre konfigurálhatja a fájlok, mappák és tárolók megbízhatósági szintjét, hogy a YMB a megbízható vállalati munkafolyamatokban sose jelenjen meg.
Szorosabb integráció az operációs rendszerek architektúrájával Mindig működő védelem Az Adobe Acrobat X termékcsalád tagjai kihasználják a Microsoft Windows és a Mac OS X operációs rendszerekbe beépített folyamatos védelmet, és egy további védelmi réteget biztosítanak a számítógép feletti hatalom átvétele és a memória manipulálása ellen. Az adatvégrehajtás megakadályozása (DEP) adatok vagy veszélyes kódok elhelyezését akadályozza meg a Windows operációs rendszer által „védett” állapotúként meghatározott memóriaterületeken. Az Apple hasonló védelmet nyújt a végrehajtható fájlok számára a Mac OS X 10.6 64 bites Safari böngészőjében. A véletlenszerű címterület-kiosztás (Address Space Layout Randomization – ASLR) elrejti a rendszerösszetevők memóriában és lapozófájlban elfoglalt helyét, megnehezítve ezzel a támadók számára az adott összetevők megtalálását és megcélzását. Az ASLR a Windows és a Mac OS X 10.6 rendszerben is megtalálható. A beállításjegyzék-szint és a plist konfigurálása Az Adobe Acrobat X termékcsalád számtalan különféle eszközt kínál a biztonsági beállítások kezelésére, például a beállításjegyzék-szint (Windows) és plist (Macintosh) beállításait. Ezen beállítások segítségével a következőkre állíthatja be a telepítés előtt és telepítés után az ügyfélrendszereket: • a fokozott biztonság be- vagy kikapcsolása, • a kiemelt jogosultságú helyek be- vagy kikapcsolása, • előre meghatározott kiemelt jogosultságú helyek megadása, • bizonyos szolgáltatások zárolása és az alkalmazás felhasználói felületének letiltása, hogy a végfelhasználók ne módosíthassák a beállításokat, • szinte az összes biztonsági szolgáltatás engedélyezése, letiltása és további beállítása. Microsoft SCCM/SCUP támogatás Az Adobe Acrobat X termékcsalád használatával hatékonyan importálhat és tehet közzé frissítéseket a Microsoft System Center Configuration Manager (SCCM) eszközön keresztül, hogy Windows rendszerű számítógépei mindig a legújabb biztonsági javításokkal és frissítésekkel rendelkezzenek. A Microsoft System Center Updates Publisher (SCUP) katalógusainak új támogatása lehetővé teszi az Adobe Acrobat X és Adobe Reader X szoftvereinek automatikus frissítését és a kezdeti szoftvertelepítések hatékonyabbá tételét a szervezetben. Az SCUP automatikusan importál bármilyen az Adobe által kibocsátott frissítést amint az elérhető, megkönnyítve és hatékonyabbá téve ezzel az Adobe Acrobat X és Adobe Reader X telepítések frissítését. Az Apple csomagtelepítő és az Apple Remote Desktop támogatása Az Adobe Acrobat X termékcsaládban az Adobe a Mac OS X által biztosított Apple csomagtelepítőt használja a saját Adobe telepítő helyett. Ez megkönnyíti az Adobe Acrobat és az Acrobat Reader szoftverek telepítését a vállalat Macintosh rendszerű számítógépeire, mivel az Apple Remote Desktop felügyeleti szoftver segítségével egy központi helyről felügyelheti a kezdeti szoftvertelepítést és a további frissítéseket, illetve javításokat.
4
Egyszerűbb telepítés és felügyelet Rendszeres frissítések és javítások Ahhoz, hogy a szoftver mindig naprakész legyen, az Adobe rendszeresen ütemezett frissítéseket biztosít, amelyek szolgáltatásfrissítéseket és biztonsági javításokat is tartalmaznak. A nulladik napi támadásokra való gyors reagálás érdekében az Adobe szükség szerint sorozaton kívüli javításokat is biztosít. Az Adobe szigorúan teszteli a biztonsági javításokat a kiadás előtt, hogy azok biztosan kompatibilisek legyenek a meglévő telepítésekkel és munkafolyamatokkal. Az Adobe továbbá a következő biztonsági webhelyeket és értesítési szolgáltatásokat biztosítja: • Az Adobe termékekkel kapcsolatos legújabb biztonsági közlemények és tanácsok megtekintéséhez látogasson el a következő címre: http://www.adobe.com/support/security/ • A legújabb biztonsági incidensekkel kapcsolatos jelentéseket és a biztonsági rések javításait az Adobe PSIRT blogján, a következő címen tekintheti meg: http://blogs.adobe.com/psirt/ • Az Adobe termékekkel és a biztonsági szolgáltatásokkal kapcsolatos további információkért tekintse meg az Adobe Security Library tárhelyet a következő webhelyen: www.adobe.com/go/ learn_acr_appsecurity_en Adobe Customization Wizard és AIM A vállalatszintű telepítések szigorúbb szabályozásához az Adobe a követező eszközöket biztosítja: Adobe Customization Wizard – Ingyenesen letölthető segédprogram, amely segítségével testre szabhatja az Acrobat telepítőt és konfigurálhatja a telepítés előtti alkalmazásszolgáltatásokat. Rendszergazdai információkezelő (AIM) – Automatikusan frissülő, testre szabható Adobe AIR® alkalmazás, amely a beállítási referenciákat tartalmazza. Az AIM számtalan, a vállalati rendszergazdák számára érdekes további erőforrást is tartalmaz.
Tartalombiztonság Az alkalmazásbiztonság mellett az Adobe egy sor, az ipari szabványnak megfelelő technikai megoldást támogat, amelyek segítenek a PDF dokumentumokban tárolt információk biztonságba helyezésében és hitelesítésében, ilyenek például a digitális aláírások, a jogosultságok kezelése és a bevált módszerek dokumentálása. Digitális aláírások A „kézi” aláíráshoz képest a digitális aláírás pénz- és időtakarékos módszer, amely a dokumentumok szerzői számára biztosítja a dokumentum tartalmának hitelességét és integritását. Az Adobe Reader X és Adobe Acrobat X szoftverek használatával könnyen adhat digitális aláírást egy dokumentumhoz, ellenőrizheti az aláírás érvényességét, valamint jogosultságokat, illetve korlátozásokat alkalmazhat az aláírási munkafolyamat szabályozása érdekében. Jogosultságok kezelése Az Adobe Acrobat X termékcsalád és az Adobe LiveCycle® Rights Management ES2 kiszolgálószoftver együttműködése olyan jogosultságkezelési képességeket biztosít, amelyek lehetővé teszik a bizalmas adatok vagy egyéb érzékeny információk védelmét, hogy ne szivároghassanak ki a szervezetből és ne kerülhessenek rossz kezekbe. Ennek segítségével szabályozhatja a dokumentum hozzáférését, nyomtatását, másolását és szerkesztését a felhasználók vagy csoportok szintjén, és dinamikusan módosíthatja a szabályokat a dokumentum élettartama során. Emellett, mivel az Adobe Reader szoftverrel rendelkező ügyfelek biztonságosan férhetnek hozzá e tartalomhoz, a védett dokumentumokat könnyű megtekinteni és nem igénylik további termékek vagy beépülő modulok megvásárlását vagy letöltését. Egységesen bevált módszerek Az Adobe Acrobat X új műveletsor varázslója segítségével könnyen automatizálhatja a folyamatokat parancsfájlokkal és telepítheti az automatizált folyamatokat a szervezetben, ezzel biztosítva, hogy a felhasználók bevált módszereket használjanak nyilvánosságra kerülő dokumentumok előkészítése és védelme során.
5
Bizalmas információk kezelése A felhasználók egységesen és könnyen távolíthatnak el bizalmas információkat fájlokból az egygombos tisztítás és a továbbfejlesztett szerkesztési eszközök segítségével. Hatékony, szabványokon alapuló titkosítási technológiák teszik lehetővé a végfelhasználók számára jelszavak és jogosultságok beállítását a PDF dokumentumokhoz való hozzáférés szabályozására és a módosítások megakadályozására.
Összefoglalás Az Adobe Acrobat X termékcsaláddal az Adobe új szintre emeli a PDF dokumentumok és az adatok biztonságát. Az Adobe Acrobat X és az Adobe Reader X a megnövelt alkalmazásbiztonságtól és szigorúbb szabályozástól az operációs rendszerrel kialakított szorosabb integrációig és továbbfejlesztett telepítési és felügyeleti eszközökig minden téren a biztonságra lett tervezve. Ráadásul az Adobe Acrobat X és az Adobe Reader X szoftvereket folyamatosan tesztelik és fejlesztik termékbiztonsági csapataink az újabb és újabb veszélyek leküzdése érdekében. Az Adobe Product Security Incident Response Team (PSIRT) csapattal való együttműködés biztosítja, hogy az Adobe termékek használatakor adatai biztonságban vannak.
További információk A megoldás részletes adatai: www.adobe.com/security
Adobe Systems Incorporated 345 Park Avenue San Jose, CA 95110-2704 Egyesült Államok www.adobe.com
Az Adobe, az Adobe embléma, a Creative Suite, a FreeHand, az Illustrator és a Macromedia az Adobe Systems Incorporated bejegyzett védjegye vagy védjegye az Egyesült Államokban és/vagy más országokban. A Mac OS az Apple Inc. bejegyzett védjegye az Egyesült Államokban és más országokban. Az Intel az Intel Corporation védjegye az Egyesült Államokban és más országokban. A PowerPC az International Business Machines Corporation védjegye az Egyesült Államokban és más országokban. A Microsoft, az OpenType, a Windows és a Windows Vista a Microsoft Corporation bejegyzett védjegye vagy védjegye az Egyesült Államokban és/vagy más országokban. Minden más védjegy a megfelelő birtokosok tulajdona. © 2010 Adobe Systems Incorporated. Minden jog fenntartva. Nyomtatva az Egyesült Államokban.
12/10