Abo
  • Services:

Patchday: PDF-Sicherheitslücke betrifft Microsoft-Browser

Das mittlerweile im Browser übliche direkte Anzeigen von PDF-Dokumenten kann zu einem Sicherheitsproblem werden, wie ein aktueller Fall zeigt. Der Anwender muss bei Microsofts Edge-Browser auch ohne Adobe Reader auf Schad-PDFs achten.

Artikel veröffentlicht am ,
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren.
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren. (Bild: Golem.de)

In der PDF-Bibliothek von Windows steckt eine unangenehme Sicherheitslücke. Mit einem manipulierten PDF-Dokument kann ein Angreifer Code auf dem System des Nutzers ausführen und so das Betriebssystem in Teilen unter seine Kontrolle bringen. Wer als Standard-Nutzer angemeldet ist, hat weniger zu befürchten als der bei vielen Anwender noch übliche Einsatz eines Administratorzugangs für einfache Arbeiten. Gefährlich sind trotzdem beide Szenarien.

Stellenmarkt
  1. DFL Digital Sports GmbH, Köln
  2. über duerenhoff GmbH, Raum Essen

Problematisch ist, dass die PDF-Funktion Grundbestandteil des Standardbrowsers Edge von Windows 10 ist. Die meisten Anwender, die Edge verwendeten, sind also ohne die Aktualisierungen des August-Patchdays angreifbar, wenn sie die Standardeinstellungen für die Anzeige von PDF-Dokumenten nicht verändert haben. Der Sicherheitslücke wurde der CVE-Code CVE-2016-3319 zugeordnet. Sie hat laut Microsoft die höchste Gefahreneinstufung.

Auch andere Betriebssysteme sind betroffen

Betroffen ist allerdings nicht nur Windows 10, da die fehlerhafte PDF-Bibliothek auch in anderen Betriebssystemen eingesetzt wird, etwa in Windows Server 2012 (auch R2), Windows 8.1 und Windows RT 8.1 - wobei ein Angriff auf Windows RT unwahrscheinlich erscheint. Das Gleiche gilt für die technische Vorschau von Windows Server 2016. Allerdings beschreibt Microsoft keinen Weg, wie ein Angriff funktionieren könnte. Unter Windows 10 reicht es, einen Edge-Nutzer auf einen Link mit einer PDF-Datei zu locken.

Die meisten Browser sind mittlerweile in der Lage, PDF-Dateien im Browser anzuzeigen. Sie ersetzen damit den lange vorherrschenden Adobe Reader, der als Plugin häufig die Anzeige von PDFs übernahm und in den vergangenen Jahren regelmäßig wegen Sicherheitslücken auffiel. Der Adobe Reader war und ist ein lohnenswertes Ziel, da die Plattform über mehrere Browser und Betriebssysteme verfügbar ist. Die Aufspaltung der PDF-Betrachter dürfte der Attraktivität als Schadsoftwareziel geschadet haben.

Doch die Ansicht im Browser garantiert keine Sicherheit, vor allem wenn es eine Standardoption ist, mit der Angreifer rechnen können. Auch einfache PDF-Betrachter als externe Programme können prinzipiell Sicherheitslücken beinhalten. Allerdings werden diese kaum untersucht und sind deswegen selten bekannt.

Um das Problem zu beheben, sollten die aktuellen Sicherheitsupdates über das Windows-Update installiert werden.



Anzeige
Hardware-Angebote
  1. ab 119,98€ (Release 04.10.)
  2. mit Gutschein: HARDWARE50 (nur für Neukunden, Warenwert 104 - 1.000 Euro)
  3. 59,79€ inkl. Rabatt
  4. täglich neue Deals bei Alternate.de

mikehak 10. Aug 2016

@FreiGeistler Nun ja, ich habe eben ein Raid am laufen. ;) Nur die Boot ist SSD, das ist...

FreiGeistler 10. Aug 2016

Um PDF kurz anzuschauen tuts mir auch Evince Portable (sehr schnell). Kennt jemand einen...

DerVorhangZuUnd... 10. Aug 2016

Tsss.... Aber eigentlich programmiert heute doch niemand ernsthafte Software so... Das...


Folgen Sie uns
       


BMW stellt seinen Formel-E-Rennwagen vor - Bericht

BMW setzt auf elektrischen Motorsport: Die Münchener treten als zweiter deutscher Autohersteller in der Rennserie Formel E an. BMW hat in München das Fahrzeug für die Saison 2018/19 vorgestellt.

BMW stellt seinen Formel-E-Rennwagen vor - Bericht Video aufrufen
Grafikkarten: Das kann Nvidias Turing-Architektur
Grafikkarten
Das kann Nvidias Turing-Architektur

Zwei Jahre nach Pascal folgt Turing: Die GPU-Architektur führt Tensor-Cores und RT-Kerne für Spieler ein. Die Geforce RTX haben mächtige Shader-Einheiten, große Caches sowie GDDR6-Videospeicher für Raytracing, für Deep-Learning-Kantenglättung und für mehr Leistung.
Ein Bericht von Marc Sauter

  1. Tesla T4 Nvidia bringt Googles Cloud auf Turing
  2. Battlefield 5 mit Raytracing Wenn sich der Gegner in unserem Rücken spiegelt
  3. Nvidia Turing Geforce RTX 2080 rechnet 50 Prozent schneller

Lenovo Thinkpad T480s im Test: Das trotzdem beste Business-Notebook
Lenovo Thinkpad T480s im Test
Das trotzdem beste Business-Notebook

Mit dem Thinkpad T480s verkauft Lenovo ein exzellentes 14-Zoll-Business-Notebook. Anschlüsse und Eingabegeräte überzeugen uns - leider ist aber die CPU konservativ eingestellt und ein gutes Display kostet extra.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Thinkpad E480/E485 im Test AMD gegen Intel in Lenovos 14-Zoll-Notebook
  2. Lenovo Das Thinkpad P1 ist das X1 Carbon als Workstation
  3. Thinkpad Ultra Docking Station im Test Das USB-Typ-C-Dock mit robuster Mechanik

Zukunft der Arbeit: Was Automatisierung mit dem Grundeinkommen zu tun hat
Zukunft der Arbeit
Was Automatisierung mit dem Grundeinkommen zu tun hat

Millionen verlieren ihren Job, aber die Gesellschaft gewinnt dabei trotzdem: So stellen sich die Verfechter des bedingungslosen Grundeinkommens die Zukunft vor. Wie soll das gehen?
Eine Analyse von Daniel Hautmann

  1. Verbraucherschutzminister Kritik an eingeschränktem Widerspruchsrecht im Online-Handel
  2. Bundesfinanzminister Scholz warnt vor Schnellschüssen bei Digitalsteuer
  3. Sommerzeit EU-Kommission will die Zeitumstellung abschaffen

    •  /