BuildVuのセキュリティへについて
セキュリティの観点から、BuildVuは2つの異なる領域に分けることができます:
- PDFの処理(Java)
- 変換後のドキュメント(ホスティングを含む)
PDFの処理
BuildVuはJavaアプリケーションであり、すべての処理はJava仮想マシン(JVM)内で行われます。Java以外に必要なシステム依存はありません。また、BuildVuはサードパーティのJava依存ファイルも利用しません。
BuildVu PDFパーサーは、PDFファイル内に格納された任意のコードを実行することも、ネットワークコールを行うこともありません(トライアルの使用状況を追跡するトライアル版を除く)。
変換時のリスクは、主にアップタイムと安定性に関するものです。PDF ファイルによっては、処理のために過剰な量のシステムリソースを必要とすることで、故意に動作させる可能性があります。
この脅威は、メモリ制限を設定し、最大変換期間を利用することによって軽減することができます。
変換後のドキュメント
PDFファイルには任意のJavaScriptが含まれている可能性がありますが、BuildVuが生成する出力には含まれません。
PDFのアノテーション (注釈) は、悪意ある第三者が悪用しようとする可能性のある領域です。懸念される主な注釈は、リンク注釈、 ファイル添付注釈、メディア注釈タイプでしょう。
リンクアノテーションは、ユーザーを危険な第三者のウェブサイトに誘導するために、悪質な第三者によって利用される可能性があります。
ファイル添付アノテーションは、PDFファイルに任意のファイルを添付するために使用することができます。BuildVuは添付ファイルを実行しませんが、変換後の出力に添付ファイルを含めます。変換された文書を提供する際には、Webサーバーが添付ファイルを実行しないように注意する必要があります。このため、BuildVuは添付ファイルをファイル拡張子なしで書き出します。
メディア注釈タイプは、ユーザーがPDFファイルに任意のファイルを添付することができるもう1つの領域です。BuildVuは、特定のファイル拡張子(ここに文書化されています)を持つメディア注釈のみを書き出します。ただし、BuildVuはメディアファイルの内容を検証しません。
BuildVuにセキュリティ上の脆弱性が発見された場合、その脆弱性を公表する前に、お客様に個別に通知し、改善の機会を提供することを目指します。
IDRSolutions社のソフトウェアに脆弱性を発見された場合は、弊社までご連絡ください。