COMPUTERWORLD--Microsoft sudah seharusnya menambahkan aplikasi penampil file PDF (PDF Viewer) dalam Windows. Langkah itu melindungi pengguna dari fluktuasi serangan yang memanfaatkan celah bug di Adobe Reader, demikian menurut periset keamanan software akhir pekan lalu.
"Apple telah melakukan hal ini dengan Preview (aplikasi penampil PDF di lingkungan Mac OS X Snow Leopard). Microsoft pun seharusnya melakukan hal yang sama," ujar penasihat keamanan dari perusahaan antivirus Finlandia, Nort American operation, F-Secure, Sean Sullivan.
"Saya hanya ingin melihat dan membaca file PDF. Saya tidak ingin mendengar atau menonton mereka, atau meluncurkan file yang dapat dieksekusi, atau menjalankan JavaScript," imbuh Sulivan. Ia mengacu pada beberapa fitur tambahan dalam PDF viewer milik Adobe yang digratiskan.
Beberapa fitur tersebut, termasuk dukungan terhadap JavaScript dan spesifikasi PDF untuk fungsi Launch (meluncurkan) dokumen, telah dieksploitasi para pembobol. Jumlah serangan pun meningkat sejak 2008.
Menurut perhitungan perusahaan antivirus McAfee, eksploitasi terhadap PDF meningkat 8 kali lipat pada 2009 dibanding tahun sebelumnya. Tren itu pun terus berlanjut hingga 2010.
Fungsi Launch, memungkinkan PDF mengoperasikan file non-dokumen yang diturutsertakan dalam dokumen. File-file yang bisa dilekatkan itu bisa berupa file musik atau video. Kemampuan itulah yang kini menjadi bahan eksploitasi pembobol dalam menyebarkan pesan-pesan berbahaya dengan mencoba menipu pengguna untuk membuka file berkedok PDF.
Sullivan membeberkan kasusnya lebih detail dalam postingan blog keamanan F-Secure, pada Kamis pekan lalu. "Konsumen anda lelah dengan praktek eksploitasi macam itu dan juga hal ribet akibat banyaknya penampil PDF yang dimasukkan," ujarnya dalam pesan berjudul "Dear Microsoft".
"Mereka seharusnya menulis program yang benar-benar sederhana untuk membaca atau sekedar melihat PDF," ujar Sullivan. "Mereka bahkan tak perlu membundelnya jadi satu dengan sistem operasi (OS). Cukup membuat program tambahan yang bisa didownload, seperti yang telah mereka lakukan dengan 'Save As PDF' dalam Office."
Microsoft pernah menyatakan berniat menambahkan dukungan untuk penyimpanan dokumen dalam file berformat PDF di Office 2007, namun langkah itu harus mundur ketika Adobe menyatakan keengganannya. Alih-alih, Microsoft hanya menciptakan add ons 'Save As PDF' yang bisa diperoleh cuma-cuma di situsnya.
Setelah Adobe mengajukan spesifikasi PDF/A kepada ISO (Organisasi Standarisasi Internasional) pada 2008, Microsoft menambahkan dukungan "Save As PDF" tersebut ke bundel Office 2007 Service Pack 2 (SP2) setahun lalu. Fitur yang sama hadir pula di Office 2010.
Hanya saja, Office tidak dapat membuka dokumen PDF tanpa software pihak-ketiga atau add-ons. Add ons merupakan fitur tambahan diluar software yang didesain untuk software tertentu dapat didownload dan diinstal untuk mendukung kerja software tersebut.
Fitur-fitur dalam Windows 7 dan Windows Vista pun tak mampu menampilkan file PDF. Sebagai ganti, Mocrosoft mempromosikan dengan keberhasilan kecil, mengganti PDF dengan XPS (XML Paper Specification) penampil XPS yang dibundelkan dalam Windows 7.
"Spesifikasi PDF telah sepenuhnya bebas royalti sejak 2006," ujar Sulivan menekankan bahwa Microsoft berarti tak perlu membayar Adobe jika ingin menciptakan penampil PDF miliknya sendiri. "Tak ada alasan bagi mereka tidak bisa membuat penampil PDF. Bahkan mereka dapat membuat pengguna mengaktifkan atau menonaktifkan, jika mereka cemas dengan isu monopoli.
Beberapa kali pula Sullivan membandingan visinya tentang PDF Viewer buatan Microsoft dengan Prievew, penampil PDF milik Apple yang dibundelkan dalam Mac OS X. Prievew pun bukanya bebas bug. Pada Maret tahun ini, seorang periset keamanan software, Charlie Miller, mengatakan ia telah menemukan 60 file PDF di WEB yang dapat menimbulkan crash (kondisi di mana komputer ngadat beroperasi secara tiba-tiba, akibat kerusakan sistem) dan sepertinya akibat ekploitasi terhadap Preview.
Melihat kondisi itu, Sullivan berargumen, bahwa Microsoft, atau Adobe sendiri--bila Microsoft memang enggan merambah wilayah itu-- perlu mengembangkan versi PDF Viewer yang menghilangkan fungsi dan fitur-fitur berpotensi dimanfaatkan para hacker. "Saya harap Adobe mau menciptakan dua versi berbeda. Atau mungkin 'Reader Lite' yang benar-benar hanya untuk menampilkan PDF," ujarnya.