Anzeige

Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Anzeige

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.


eye home zur Startseite
wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

RunningTux 01. Apr 2010

Okular ist doch sicher oder?

hrhrwrnjte 01. Apr 2010

Woah du hast Linux auf deinem PC? Huiuiui. Jetzt biste bestimmt der Held im...



Anzeige

Stellenmarkt
  1. Vodafone D2 GmbH, Düsseldorf
  2. Takata AG, Berlin
  3. über SCHLAGHECK RADTKE OLDIGES GMBH executive consultants, Nordrhein-Westfalen oder Großraum Berlin
  4. Camelot ITLab GmbH, Mannheim, Köln, München, Zürich, Basel (Schweiz)


Anzeige
Blu-ray-Angebote
  1. (u. a. Der Hobbit, Der Herr der Ringe, Departed, Conjuring, Gran Torino)
  2. (u. a. Der große Gatsby, Mad Max, Black Mass, San Andreas)
  3. 27,99€

Folgen Sie uns
       


  1. Layer-2-Bitstrom

    Bundesagentur fordert 100-MBit/s-Zugang für 19 Euro

  2. Thomson Reuters

    Terrordatenbank World-Check im Netz zu finden

  3. Linux-Distribution

    Ubuntu diskutiert Ende der 32-Bit-Unterstützung

  4. Anrufweiterschaltung

    Bundesnetzagentur schaltet falsche Ortsnetznummern ab

  5. Radeon RX 480 im Test

    Eine bessere Grafikkarte gibt es für den Preis nicht

  6. Overwatch

    Ranglistenspiele mit kleinen Hindernissen

  7. Fraunhofer SIT

    Volksverschlüsselung startet ohne Quellcode

  8. Axon 7 im Hands on

    Oneplus bekommt starke Konkurrenz

  9. Brexit

    Vodafone prüft Umzug des Konzernsitzes aus UK

  10. Patent

    Apple will Konzertaufnahmen verhindern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Autotracker Tanktaler: Wen juckt der Datenschutz, wenn's Geld gibt?
Autotracker Tanktaler
Wen juckt der Datenschutz, wenn's Geld gibt?
  1. Ubeeqo Europcar-App vereint Mietwagen, Carsharing und Taxis
  2. Rearvision Ex-Apple-Ingenieure entwickeln Dualautokamera
  3. Tod von Anton Yelchin Verwirrender Automatikhebel führte bereits zu 41 Unfällen

Zenbook 3 im Hands on: Kleiner, leichter und schneller als das Macbook
Zenbook 3 im Hands on
Kleiner, leichter und schneller als das Macbook
  1. 8x Asus ROG 180-Hz-Display, Project Avalon, SLI-WaKü-Notebook & mehr
  2. Transformer 3 (Pro) Asus zeigt Detachable mit Kaby Lake
  3. Asus Zenbook Flip kommt für fast 800 Euro in den Handel

Smart City: Der Bürger gestaltet mit
Smart City
Der Bürger gestaltet mit
  1. Vernetztes Fahren Bosch will (fast) alle Parkplatzprobleme lösen

  1. Re: Kein Leak, sonder Urheberrechtsverletzung!

    Prinzeumel | 06:56

  2. wer kopieren will

    EmDiCi | 06:56

  3. Re: Warum bauen wie nicht alle aus Beton ?

    AllDayPiano | 06:40

  4. Re: bei den Preisen...

    Sharra | 06:19

  5. Warum jetzt auf ein mal?

    Sharra | 06:13


  1. 18:14

  2. 18:02

  3. 16:05

  4. 15:12

  5. 15:00

  6. 14:45

  7. 14:18

  8. 12:11


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel