A brit Sophos antivírus cég szerint nem jelent valódi veszélyt az a Brandon Dixon biztonsági kutató által (újra)felfedezett trükk, amely a kártevő-felismerés elkerülése céljából .XDP fájlokba ágyazza be a többek között célzott adathalász akcióknál is használatos Adobe Acrobat dokumentum alapú támadókódokat.
Az XML-adatformátumú fájlokban rejtve elhelyezett .PDF dokumentumokat az átjáró szintű víruskereső termékek többsége még nem észleli fel és ezért átengedi – a naprakész munkaállomás oldali vírusvédelem azonban megállítja a fenyegetést. Megnyitáskor ugyanis az .XDP fájl tartalma, közte a rejtett .PDF is kicsomagolásra kerül a merevlemezen és az antivírus motor ezt a fájlt már meg tudja vizsgálni, valós időben azonosítva benne a CVE2009-4324.a jelzésű, JavaScript / Pdfka típusú támadókódot.
Mivel azonban az XML-ben hordozott PDF-fájlok jelentette potenciális fenyegetés az utóbbi időben széles körű sajtó-visszhangot kapott – többek között a brit GovCertUK kormányzati infobiztonsági ügynökség közleménye is foglalkozott vele – az antivírus gyártók, pl. az Avast, a Kaspersky Lab és a Sophos cégek sorban beépítik termékeikbe az .XDP fájlok közvetlen vizsgálatának képességét.
Az eset rámutat az ellentétre az abszolútumokban gondolkodó biztonsági kutatók és a gyakorlati igényekre figyelő kódelemzők között. Az antivírus-laboroknak nyilván nem jelent gondot az .XDP fájlok vizsgálatának leprogramozása, a biztonsági szoftverek gyártói azonban csak szabadon terjedő, bizonyított veszély esetén szokták beépíteni újabb fájltípusok, illetve fájl-kiterjesztések kezelését a valós idejű védelembe – mivel minden ilyen lépés növeli a víruskeresés memória-igényét és csökkenti a védelem futási sebességét — írja a vírushiradó.hu.
