Achtung: PDF-Reader sind gefährlich (Update)

Codeausführung ohne Ausnutzung einer Sicherheitslücke möglich

Sowohl über den Adobe Reader als auch den Foxit Reader können Angreifer Programmcode ausführen, ohne ein Sicherheitsloch auszunutzen. Das Öffnen einer entsprechend gestalteten PDF-Datei genügt bereits, um Opfer eines Angriffs zu werden.

Artikel veröffentlicht am ,

Der eigentliche Fehler befindet sich nach Erkenntnissen des belgischen Sicherheitsexperten Didier Stevens in den PDF-Spezifikationen. Mit einem Trick lassen sich Kommandos darin unterbringen, um beliebige Befehle über den entsprechenden PDF-Reader anzuzeigen. Während der Adobe Reader immerhin einen Warndialog ausgibt, führt Foxit Reader den Code direkt aus.

Aber auch der Warndialog im Adobe Reader ist kein Schutz, denn der Inhalt des Dialogs kann vom Angreifer ohne Probleme verändert werden. Mit einem entsprechend harmlosen Text wird das Opfer dann dazu gebracht, den Dialog zu bestätigen und damit den Programmcode auszuführen. Das Abschalten von Javascript hilft gegen solche Angriffe nicht. Im Adobe Reader können solche Angriffe verhindert werden, indem das Aufrufen neuer Prozesse verhindert wird. Aber das führt dann auch dazu, dass die im Adobe Reader enthaltene Updatefunktion nicht mehr läuft.

Stevens hat Adobe auf den Fehler hingewiesen und will keine weiteren Details zu der Angriffsmöglichkeiten veröffentlichen, bis die Softwarehersteller reagiert haben.

Nachtrag vom 31. März 2010, 15:05 Uhr:

Wie ein Test in der Redaktion von Golem.de ergab, ist der von Nuance angebotene PDF Reader 6 von dem Fehler nicht betroffen. Er verweigert die Ausführung des von Stevens bereitgestellten Scripts.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verwandte Artikel
Adobe schließt kritische Sicherheitslücke in PDF-Programmen
Acht Sicherheitslücken in Adobe Reader 8 und Acrobat 8
artikel-bild
Flash und Reader
Adobe liefert XSS-Lücke als Sicherheitsupdate
Meistgelesen
artikel-bild
Disney+, Netflix und Prime Video
Das goldene Streamingzeitalter wird zum silbernen
artikel-bild
Science-Fiction
Zehn Sci-Fi-Highlights aus den 70er Jahren
artikel-bild
Raumfahrt
Tomaten auf der ISS sehen nach Monaten noch genießbar aus
Kommentarübersicht
Re: Kurz und Gut XPDF k/t
wikipedianer 04. Apr 2010

http://de.wikipedia.org/wiki/Xpdf Die Kritik an Xpdf ist ja nicht grade unerheblich...

Re: Foxit???
Superbit 01. Apr 2010

Hier die Antwort von Foxit auf das Problem: Hello, We are aware of this vulnerability and...

Re: Ha! Pöhser Foxit!
O___________o 01. Apr 2010

Und da heissts immer die Alternativen wären immer besser und toller. Nein, hier sind sie...

Und was ist mit Okular?
RunningTux 01. Apr 2010

Okular ist doch sicher oder?

Aktuell auf der Startseite von Golem.de
Zbox Pico PI430AJ
Flotter Mini-PC mit Solid-State-Kühlung

Die fast lautlosen Kühler von Frore Systems funktionieren gut. Mehr Leistung auf so kleinem Raum ist kaum möglich. Eine ARM-CPU wäre aber spannend.
Ein Test von Martin Böckmann

Zbox Pico PI430AJ: Flotter Mini-PC mit Solid-State-Kühlung
Artikel
  1. Kernfusion: US-Fusionslabor erreicht konsistent Zündungen
    Kernfusion
    US-Fusionslabor erreicht konsistent Zündungen

    Vor einem Jahr gelang der US-Forschungseinrichtung NIF ein wichtiger Fortschritt bei der Kernfusion. Der wurde inzwischen mehrfach wiederholt.

  2. Zu einfach: Sony patentiert dynamisch angepasste Schwierigkeitsgrade
    Zu einfach
    Sony patentiert dynamisch angepasste Schwierigkeitsgrade

    Geschwindigkeit, Spawn-Rate und mehr: Sony hat eine besonders komplexe Anpassung von Schwierigkeitsgraden patentiert.

  3. Energiewende: Deutsche Stromnetze im Dornröschenschlaf
    Energiewende
    Deutsche Stromnetze im Dornröschenschlaf

    IT ist der Game Changer der Energiewende - nur nicht in Deutschland.
    Eine Analyse von Gerd Mischler

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Last-Minute-Angebote bei Amazon • Avatar & The Crew Motorfest bis -50% • Xbox Series X 399€ • Cherry MX Board 3.0 S 49,95€ • Crucial MX500 2 TB 110,90€ • AVM FRITZ!Box 7590 AX + FRITZ!DECT 500 219€ [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /