Abo
  • Services:
Anzeige

Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Anzeige

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.


eye home zur Startseite
wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

RunningTux 01. Apr 2010

Okular ist doch sicher oder?

hrhrwrnjte 01. Apr 2010

Woah du hast Linux auf deinem PC? Huiuiui. Jetzt biste bestimmt der Held im...



Anzeige

Stellenmarkt
  1. Continental AG, Frankfurt
  2. Wüstenrot & Württembergische Informatik GmbH, Ludwigsburg
  3. MEKRA Lang GmbH & Co. KG, Ergersheim
  4. Daimler AG, Gaggenau


Anzeige
Top-Angebote
  1. 14,99€ + 5,00€ Versand (USK 18)
  2. 129,00€ (Vergleichspreis 194€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Konkurrenz zu Amazon Echo

    Hologramm-Barbie soll digitale Assistentin werden

  2. Royal Navy

    Hubschrauber mit USB-Stick sucht Netzwerkanschluss

  3. Class-Action-Lawsuit

    Hunderte Ex-Mitarbeiter verklagen Blackberry

  4. Rivatuner Statistics Server

    Afterburner unterstützt Vulkan und bald die UWP

  5. Onlinewerbung

    Youtube will nervige 30-Sekunden-Spots stoppen

  6. SpaceX

    Trägerrakete Falcon 9 erfolgreich gestartet

  7. Hawkeye

    ZTE bricht Crowdfunding-Kampagne ab

  8. FTTH per NG-PON2

    10 GBit/s für Endnutzer in Neuseeland erfolgreich getestet

  9. Smartphones

    FCC-Chef fordert Aktivierung ungenutzter UKW-Radios

  10. Die Woche im Video

    Die Selbstzerstörungssequenz ist aktiviert



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
MX Board Silent im Praxistest: Der viel zu teure Feldversuch von Cherry
MX Board Silent im Praxistest
Der viel zu teure Feldversuch von Cherry
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig
  3. Surface Ergonomic Keyboard Microsofts Neuauflage der Mantarochen-Tastatur

Der große Ultra-HD-Blu-ray-Test (Teil 2): 4K-Hardware ist nichts für Anfänger
Der große Ultra-HD-Blu-ray-Test (Teil 2)
4K-Hardware ist nichts für Anfänger
  1. Der große Ultra-HD-Blu-ray-Test (Teil 1) 4K-Filme verzeihen keine Fehler
  2. Deutsche Verkaufszahlen Unberechtigter Jubel über die UHD-Blu-ray
  3. 4K Blu-ray Sonys erster UHD-Player kommt im Frühjahr 2017

Everywhere: Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
Everywhere
Ex-GTA-Producer heuert Ex-Crytek-Entwickler an
  1. Rockstar Games Weitere 5 Millionen verkaufte GTA-5-Spiele in drei Monaten
  2. Leslie Benzies GTA-Chefentwickler arbeitet an neuem Projekt
  3. Rockstar Games Spieleklassiker Bully für Mobile-Geräte erhältlich

  1. Die Grenze des Sinnvollen gibts bei jeder Technik

    postb1 | 17:10

  2. Re: Geht bitte nicht wählen!

    piratentölpel | 17:09

  3. Re: Wichtig ist die Glasfaser im Haus

    lennartc | 17:04

  4. Re: Dann doch lieber 50 mbit

    Proctrap | 16:51

  5. Re: China-Handys

    Peter Brülls | 16:47


  1. 14:00

  2. 12:11

  3. 11:29

  4. 11:09

  5. 10:47

  6. 18:28

  7. 14:58

  8. 14:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel