Abo
  • Services:
Anzeige

Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Anzeige

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.


eye home zur Startseite
wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

RunningTux 01. Apr 2010

Okular ist doch sicher oder?

hrhrwrnjte 01. Apr 2010

Woah du hast Linux auf deinem PC? Huiuiui. Jetzt biste bestimmt der Held im...



Anzeige

Stellenmarkt
  1. dSPACE GmbH, Paderborn
  2. Deutsche Bundesbank, München
  3. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin
  4. Bertrandt Technikum GmbH, Ehningen bei Stuttgart


Anzeige
Blu-ray-Angebote
  1. 12,85€ + 5€ FSK18-Versand
  2. 49,99€ mit Vorbesteller-Preisgarantie

Folgen Sie uns
       


  1. TP Link Archer CR700v

    Einziger AVM-Konkurrent bei Kabelroutern gibt auf

  2. Sparc M8

    Oracles neuer Chip ist 40 Prozent schneller

  3. Cloud

    IBM bringt die Datenmigration im 120-Terabyte-Koffer

  4. Fire HD 10

    Amazon bringt 10-Zoll-Full-HD-Tablet mit Alexa für 160 Euro

  5. Watson

    IBMs Supercomputer stellt sich dumm an

  6. Techbold

    Mining-Komplett-PCs mit bis zu 256 MH/s

  7. Aquaris-V- und U2-Reihe

    BQ stellt neue Smartphones ab 180 Euro vor

  8. Landkreis Südwestpfalz

    Telekom baut FTTH für Gewerbe und Vectoring für Haushalte

  9. Microsoft

    Gute Store-Apps sollen besseren Marketingstatus erhalten

  10. Zukunft des Autos

    "Unsere Elektrofahrzeuge sollen typische Porsche sein"



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Energieversorgung: Windparks sind schlechter gesichert als E-Mail-Konten
Energieversorgung
Windparks sind schlechter gesichert als E-Mail-Konten
  1. Apache Struts Monate alte Sicherheitslücke führte zu Equifax-Hack
  2. Kreditrating Equifax' Krisenreaktion ist ein Desaster
  3. Best Buy US-Handelskette verbannt Kaspersky-Software aus Regalen

Anki Cozmo im Test: Katze gegen Roboter
Anki Cozmo im Test
Katze gegen Roboter
  1. Die Woche im Video Apple, Autos und ein grinsender Affe
  2. Anki Cozmo ausprobiert Niedlicher Programmieren lernen und spielen

Indiegames-Rundschau: Cyberpunk, Knetmännchen und Kampfsportkünstler
Indiegames-Rundschau
Cyberpunk, Knetmännchen und Kampfsportkünstler
  1. Indiegames-Rundschau Fantasysport, Burgbelagerungen und ein amorpher Blob
  2. Indiegames-Rundschau Meisterdiebe, Anti- und Arcadehelden
  3. Jump So was wie Netflix für Indiegames

  1. Re: Siemens hat eine gute Lösung in Parkhäusern

    MacJK | 15:46

  2. Re: Mit Sensor erkennen ob Stecker drin steckt?!

    MotherGreen | 15:43

  3. Re: Meine Vision sieht anders aus...

    JackIsBlack | 15:42

  4. Re: Cloud! Docker! KI! VR!!!

    Trollversteher | 15:42

  5. Re: Skynet

    TobiVH | 15:40


  1. 15:50

  2. 15:21

  3. 15:12

  4. 15:00

  5. 14:00

  6. 13:59

  7. 13:20

  8. 13:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel