Por qué no veo pr0n en PDFs

En los últimos años multitud de 0days para Adobe Acrobat han visto la luz. Mucha gente comenta que la implementación del “estándar” ISO-32000 de Adobe está llena de vulnerabilidades pero poca gente veo que critique de por sí el formato (aunque también la hay). En este artículo os comento las cosas maravillosas del formato, las cosas también maravillosas de la implementación de Adobe y porqué todos los lectores de PDFs tienen y tendrán vulnerabilidades ya que, en mi opinión, es el formato el que está roto.

El formato PDF
El formato está parcialmente documentado en la especificación ISO-32000 que solo está disponible previo pago (o tras búsqueda avanzada en Google…). De todos modos, Adobe nos deja gratuitamente descargar la especificación del formato PDF 1.7 (standar). Me voy a ceñir, de momento, a las características que vienen solo en este documento para mostrar porqué las propias especificaciones indican que es él formato el que está roto y no la implementación.

¿Qué es un PDF?
Si alguien nos pregunta que es un documento PDF lo más probable es que respondamos: “Un formato para ver documentos como si los hubiésemos impreso”. Vale, pero ¿Es sólo eso? Pues va a ser que no, ya que tienen un montón de características fascinantes que, a título personal, ni de lejos hubiera pensado que estuvieran ahí o que hiciesen falta como por ejemplo:

• Soporte para múltiples formatos de vídeo no especificando la lista (página 764).
• Soporte para animaciones Flash (con una versión de Flash siempre anticuada en la implementación de Adobe).
• Un motor de renderizado 3D (página 789) para insertar, por ejemplo, documentos CAD.
• Soporte para conexión con bases de datos vía ADBC y ODBC (notas curiosas).
• Soporte para ejecución de comandos del sistema operativo (página 660).
• Soporte para JavaScript y FormCalc.

Contenido completo en 48bits