Abo
  • Services:
Anzeige

Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Anzeige

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.


eye home zur Startseite
wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

RunningTux 01. Apr 2010

Okular ist doch sicher oder?

hrhrwrnjte 01. Apr 2010

Woah du hast Linux auf deinem PC? Huiuiui. Jetzt biste bestimmt der Held im...



Anzeige

Stellenmarkt
  1. Sika Deutschland GmbH, Stuttgart
  2. User Interface Design GmbH, Mannheim
  3. Bosch Sensortec GmbH, Reutlingen
  4. FERCHAU Engineering GmbH, Hamburg


Anzeige
Blu-ray-Angebote
  1. 23,94€ (Vorbesteller-Preisgarantie)
  2. 9,99€
  3. 19,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Tipps für IT-Engagement in Fernost
  2. Kritische Bereiche der IT-Sicherheit in Unternehmen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Leitlinien vereinbart

    Regulierer schwächen Vorgaben zu Netzneutralität ab

  2. Kartendienst

    Microsoft und Amazon könnten sich an Here beteiligen

  3. Draufsicht

    Neuer 5er BMW mit Überwachungskameras

  4. Apple

    iPhone-Event findet am 7. September 2016 statt

  5. Fitbit

    Ausatmen mit dem Charge 2

  6. Sony

    Playstation 4 Slim bietet 5-GHz-WLAN

  7. Exploits

    Treiber der Android-Hersteller verursachen Kernel-Lücken

  8. Nike+

    Social-Media-Wirrwarr statt "Just do it"

  9. OxygenOS vs. Cyanogenmod im Test

    Ein Oneplus Three, zwei Systeme

  10. ProSiebenSat.1

    Sechs neue Apps mit kostenlosem Live-Streaming



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Avegant Glyph aufgesetzt: Echtes Kopfkino
Avegant Glyph aufgesetzt
Echtes Kopfkino

Next Gen Memory: So soll der Speicher der nahen Zukunft aussehen
Next Gen Memory
So soll der Speicher der nahen Zukunft aussehen
  1. Arbeitsspeicher DDR5 nähert sich langsam der Marktreife
  2. SK Hynix HBM2-Stacks mit 4 GByte ab dem dritten Quartal verfügbar
  3. Arbeitsspeicher Crucial liefert erste NVDIMMs mit DDR4 aus

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Softrobotik Oktopus-Roboter wird mit Gas angetrieben
  2. Warenzustellung Schweizer Post testet autonome Lieferroboter
  3. Lockheed Martin Roboter Spider repariert Luftschiffe

  1. Macs mit zeitgemäßer Hardware

    metal1ty | 09:16

  2. Re: Klingt wie ein Gottesdienst einer modernen...

    Trollversteher | 09:14

  3. Also ist die Neutralität quasi begraben, denn ....

    CallyBre | 09:13

  4. Re: Habe ich da etwas missverstanden?

    pseudonymer | 09:11

  5. Re: Nutzungsmodell

    Bujin | 09:11


  1. 09:00

  2. 08:04

  3. 07:28

  4. 22:34

  5. 18:16

  6. 16:26

  7. 14:08

  8. 12:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel