Abo
  • Services:

Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Artikel veröffentlicht am ,

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Stellenmarkt
  1. Dataport, verschiedene Standorte
  2. beauty alliance Deutschland GmbH & Co. KG, Bielefeld

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.



Anzeige
Top-Angebote
  1. mit Gutscheincode PLAYTOWIN (max. 50€ Rabatt) - z. B. ASUS ROG Strix GeForce RTX 2070 Advanced...
  2. (aktuell u. a. Sony 65-Zoll-TV 789€)
  3. 5,00€
  4. 49,99€ (spare 4€ zusätzlich bei Zahlung mit Paysafecard) - Release am 15.3.

wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

RunningTux 01. Apr 2010

Okular ist doch sicher oder?

hrhrwrnjte 01. Apr 2010

Woah du hast Linux auf deinem PC? Huiuiui. Jetzt biste bestimmt der Held im...


Folgen Sie uns
       


Razer Hypersense angesehen (CES 2019)

Razer hat Vibrationsmotoren in Maus, Handballenablage und Stuhl verbaut - und wir haben uns auf der CES 2019 durchrütteln lassen.

Razer Hypersense angesehen (CES 2019) Video aufrufen
Asana-Gründer im Gespräch: Die Konkurrenz wird es schwer haben, zu uns aufzuschließen
Asana-Gründer im Gespräch
"Die Konkurrenz wird es schwer haben, zu uns aufzuschließen"

Asana ist aktuell recht erfolgreich im Bereich Business-Software - zahlreiche große Unternehmen arbeiten mit der Organisationssuite. Für Mitgründer Justin Rosenstein geht es aber nicht nur ums Geld, sondern auch um die Unternehmenskultur - nicht nur bei Asana selbst.
Ein Interview von Tobias Költzsch


    Mac Mini mit eGPU im Test: Externe Grafik macht den Mini zum Pro
    Mac Mini mit eGPU im Test
    Externe Grafik macht den Mini zum Pro

    Der Mac Mini mit Hexacore-CPU eignet sich zwar gut für Xcode. Wer eine GPU-Beschleunigung braucht, muss aber zum iMac (Pro) greifen - oder eine externe Grafikkarte anschließen. Per eGPU ausgerüstet wird der Mac Mini viel schneller und auch preislich kann sich das lohnen.
    Ein Test von Marc Sauter

    1. Apple Mac Mini (Late 2018) im Test Tolles teures Teil - aber für wen?
    2. Apple Mac Mini wird grau und schnell
    3. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /