Los documentos PDF son increíblemente potentes, pero esa potencia conlleva riesgos de seguridad inherentes. Debido a que los PDF admiten archivos incrustados, código JavaScript interactivo y secuencias binarias complejas, se utilizan con frecuencia como vectores para la entrega de malware. Los desbordamientos de búfer, las lecturas fuera de límites y los desbordamientos de enteros en analizadores de PDF mal escritos pueden provocar la ejecución remota de código (RCE).
Si está creando una aplicación en Delphi que acepta archivos PDF subidos por los usuarios (por ejemplo, un portal de ingesta de documentos), garantizar un análisis de PDF seguro para la memoria es un requisito de seguridad crítico.
Vectores de ataque comunes en PDF
Los PDF maliciosos suelen apuntar a vulnerabilidades en el propio analizador en lugar de en el sistema operativo. Las técnicas comunes incluyen:
- Tablas de referencias cruzadas (XRef) mal formadas: Creación de desplazamientos de puntero que conducen fuera de los límites, bloqueando el analizador o permitiendo la divulgación de memoria.
- Bucles infinitos: Creación de referencias circulares entre objetos PDF (por ejemplo, el Objeto A hace referencia al Objeto B, que hace referencia al Objeto A) lo que lleva al agotamiento de la pila.
- Descompresión explosiva (Bombas Zip): Secuencias FlateDecode que se descomprimen de unos pocos kilobytes a gigabytes, agotando la memoria del sistema.
Estrategias de análisis defensivo en Delphi
Al analizar archivos PDF de forma nativa en Delphi, debe programar a la defensiva. No puede confiar en los metadatos proporcionados en los diccionarios del PDF.
1. Romper las referencias circulares
Al recorrer recursivamente un árbol de objetos PDF, debe mantener un historial de los objetos visitados para evitar bucles infinitos.
uses
System.Generics.Collections, System.SysUtils;
// A safe recursive function to walk the PDF tree
procedure ParsePDFDictionary(DictObj: TPDFDictionary; Visited: TList<Integer>);
var
ObjID: Integer;
begin
ObjID := DictObj.ObjectID;
if Visited.Contains(ObjID) then
begin
Writeln('Warning: Circular reference detected. Aborting branch.');
Exit;
end;
Visited.Add(ObjID);
try
// Process child objects safely...
finally
// Allow siblings to traverse, but prevent vertical recursion loops
Visited.Remove(ObjID);
end;
end;2. Protección contra bombas Zip
Al aplicar el filtro FlateDecode para descomprimir una secuencia, debe limitar estrictamente el tamaño máximo de expansión. Nunca asigne memoria a ciegas basándose en la clave de diccionario /Length.
const
MAX_DECOMPRESSED_SIZE = 1024 * 1024 * 50; // 50 MB safety limit
procedure DecompressPDFStream(CompressedStream, OutputTarget: TStream);
var
ZLibStream: TZDecompressionStream;
Buffer: array[0..8191] of Byte;
BytesRead, TotalRead: Integer;
begin
ZLibStream := TZDecompressionStream.Create(CompressedStream);
try
TotalRead := 0;
repeat
BytesRead := ZLibStream.Read(Buffer[0], SizeOf(Buffer));
if BytesRead > 0 then
begin
TotalRead := TotalRead + BytesRead;
if TotalRead > MAX_DECOMPRESSED_SIZE then
raise Exception.Create('Security Exception: Decompression bomb detected!');
OutputTarget.WriteBuffer(Buffer[0], BytesRead);
end;
until BytesRead = 0;
finally
ZLibStream.Free;
end;
end;Aprovechamiento de motores reforzados y componentes seguros
Escribir un analizador de PDF completamente seguro desde cero es una tarea monumental. El enfoque estándar de la industria es utilizar un motor reforzado y exhaustivamente probado mediante fuzzing como PDFium, o depender de bibliotecas nativas rigurosamente probadas.
PDFium es el motor de renderizado principal que usa Google Chrome. Como Chrome procesa millones de PDF no confiables a diario, PDFium es sometido a pruebas de fuzzing continuas y agresivas por parte del Project Zero de Google. Maneja XRefs mal formados, flujos rotos y referencias cíclicas sin problemas.
De manera similar, componentes nativos como el HotPDF Component y la Delphi PDF Library incorporan desde un principio estrategias robustas de análisis defensivo. Implementan comprobación estricta de límites, limitadores de profundidad recursiva y mecanismos de prevención de fugas de memoria diseñados específicamente para entornos Delphi y C++Builder.
Ya sea que decida consumir PDFium a través de un wrapper de Delphi para renderizado, o utilizar componentes nativos como HotPDF para la generación y procesamiento de documentos, usted hereda un perímetro de seguridad de nivel corporativo, protegiendo a sus usuarios y a sus servidores de cargas maliciosas sin tener que escribir analizadores defensivos por su cuenta.
Nota: Las capacidades de análisis seguro y probado con fuzzing están disponibles en toda nuestra suite, incluyendo el HotPDF Component, la Delphi PDF Library y el PDFium Component.