Abo
  • Services:

Adobe PDF: Unbekannter URL-Parameter ermöglicht PDF-Tracking

Ein noch nicht veröffentlichter Parameter für URLs ermöglicht es, die Verbreitung von PDFs anhand von IP-Adressen zu verfolgen. Der Anwender merkt davon nichts. Der Fehler ist in allen Versionen von Adobes Reader vorhanden. Noch gibt es keinen Patch.

Artikel veröffentlicht am ,
Durch einen speziellen Parameter wird ein Warnhinweis zum Öffnen einer URL unterdrückt, obwohl eine Verbindung bereits aufgebaut wurde.
Durch einen speziellen Parameter wird ein Warnhinweis zum Öffnen einer URL unterdrückt, obwohl eine Verbindung bereits aufgebaut wurde. (Bild: McAfee)

Über einen erst jetzt bekanntgewordenen Fehler in dem Javascript-API in allen Versionen von Adobes PDF-Anwendungen lässt sich verfolgen, auf welchem Rechner eine speziell präparierte PDF-Datei geöffnet wird. Der Anwender merkt davon nichts, denn ein spezieller Parameter in einer eingebetteten URL unterdrückt den üblicherweise erscheinenden Warnhinweis.

Stellenmarkt
  1. Eurowings Aviation GmbH, Köln
  2. mobilcom-debitel GmbH, Büdelsdorf

Der erscheint normalerweise in Adobe-Anwendungen beim Öffnen von PDF-Dateien mit eingebetteten URLs, wenn beim Öffnen einer PDF-Datei eine Verbindung hergestellt werden soll. Das sieht das Javascript-API vor, wenn die URL in einem Parameter eingebettet ist. Ein zweiter Parameter, der mit einem speziellen Wert versehen ist, verändert das Verhalten des APIs. Wenn die dazugehörige URL ungültig ist, erscheint zwar kein Warnhinweis, dennoch wird eine TCP-Verbindung aufgebaut, die zumindest die IP-Adresse des PDF-Lesers ausgibt, wie McAfee-Mitarbeiter Haifei Li in seinem Blog schreibt.

Harmlos, aber entlarvend

Der Fehler wird von den Sicherheitsexperten bei McAfee als weitgehend ungefährlich eingestuft. Zumindest kann darüber kein Code ausgeführt werden. Allerdings kann ein Angreifer Informationen über potenzielle Opfer einholen, etwa die IP-Adresse seines Rechners oder der Pfad, in dem die Datei abgelegt wurde.

Wie die entsprechenden Parameter manipuliert werden können, verschweigt McAfee, solange ein entsprechender Patch noch nicht veröffentlicht wurde. Das Sicherheitsunternehmen hat Adobe bereits kontaktiert, wartet aber noch auf eine Bestätigung und ein Update. Derweil sollten besorgte Anwender Javascript im Adobe Reader deaktivieren.

Erst im Februar 2013 hatte Adobe mit einem Patch auf eine weitaus gefährlichere Sicherheitslücke im Adobe Reader reagiert. Über den Fehler konnten Angreifer beliebigen Programmcode auf fremden Rechnern ausführen. Sicherheitsexperten raten, möglichst zeitnah Updates für Adobes PDF-Anwendungen einzuspielen.



Anzeige
Blu-ray-Angebote
  1. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)
  2. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

guenther62 15. Aug 2014

Schädling Nummer 1 sollte aus Sicherheitsgründen durch eine quelloffene Ausführung...

Lala Satalin... 02. Mai 2013

Vor allem ist der Sumatra scheiße schnell. Beim Scrollen mit der Maus oder mit dem...

devsta 02. Mai 2013

Klar, nur ob die 10kB was ausmachen... ich denke nicht

a user 02. Mai 2013

wenn das mal kein fehler war.


Folgen Sie uns
       


Sony ZG9 angesehen (CES 2019)

Sony hat auf der CES 2019 mit dem ZG9 seinen ersten 8K-Fernseher vorgestellt.

Sony ZG9 angesehen (CES 2019) Video aufrufen
Slighter im Hands on: Wenn das Feuerzeug smarter als der Raucher ist
Slighter im Hands on
Wenn das Feuerzeug smarter als der Raucher ist

CES 2019 Mit Slighter könnte ausgerechnet ein Feuerzeug Rauchern beim Aufhören helfen: Ausgehend von den Rauchgewohnheiten erstellt es einen Plan - und gibt nur zu ganz bestimmten Zeiten eine Flamme.
Ein Hands on von Tobias Költzsch

  1. Smart Tab Lenovo zeigt Mischung aus Android-Tablet und Echo Show
  2. Royole Flexpai im Hands on Display top, Software flop
  3. Alienware Area 51m angesehen Aufrüstbares Gaming-Notebook mit frischem Design

Vorschau Spielejahr 2019: Postnukleare Action und die nächste Konsolengeneration
Vorschau Spielejahr 2019
Postnukleare Action und die nächste Konsolengeneration

2019 beginnt mit Metro Exodus, Anthem, dem neuen Anno und The Division 2 richtig toll! Golem.de verrät, welche Blockbuster sonst noch kommen, was die Konsolenhersteller möglicherweise planen - und was auch Ende 2019 fast sicher nicht zum Spielen da sein wird.
Von Peter Steinlechner

  1. Slightly Mad Mad Box soll Konkurrenz für Xbox und Playstation werden
  2. Jugendschutz China erlaubt neue Computerspiele
  3. Jugendschutz Studie der US-Regierung entlastet Spielebranche

Elektroauto: Eine Branche vor der Zerreißprobe
Elektroauto
Eine Branche vor der Zerreißprobe

2019 wird ein spannendes Jahr für die Elektromobilität. Politik und Autoindustrie stehen in diesem Jahr vor Entwicklungen, die über die Zukunft bestimmen. Doch noch ist die Richtung unklar.
Eine Analyse von Dirk Kunde

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

    •  /