Abo
  • Services:

Patchday: PDF-Sicherheitslücke betrifft Microsoft-Browser

Das mittlerweile im Browser übliche direkte Anzeigen von PDF-Dokumenten kann zu einem Sicherheitsproblem werden, wie ein aktueller Fall zeigt. Der Anwender muss bei Microsofts Edge-Browser auch ohne Adobe Reader auf Schad-PDFs achten.

Artikel veröffentlicht am ,
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren.
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren. (Bild: Golem.de)

In der PDF-Bibliothek von Windows steckt eine unangenehme Sicherheitslücke. Mit einem manipulierten PDF-Dokument kann ein Angreifer Code auf dem System des Nutzers ausführen und so das Betriebssystem in Teilen unter seine Kontrolle bringen. Wer als Standard-Nutzer angemeldet ist, hat weniger zu befürchten als der bei vielen Anwender noch übliche Einsatz eines Administratorzugangs für einfache Arbeiten. Gefährlich sind trotzdem beide Szenarien.

Stellenmarkt
  1. diconium digital solutions GmbH, Stuttgart
  2. BWI GmbH, Meckenheim, München

Problematisch ist, dass die PDF-Funktion Grundbestandteil des Standardbrowsers Edge von Windows 10 ist. Die meisten Anwender, die Edge verwendeten, sind also ohne die Aktualisierungen des August-Patchdays angreifbar, wenn sie die Standardeinstellungen für die Anzeige von PDF-Dokumenten nicht verändert haben. Der Sicherheitslücke wurde der CVE-Code CVE-2016-3319 zugeordnet. Sie hat laut Microsoft die höchste Gefahreneinstufung.

Auch andere Betriebssysteme sind betroffen

Betroffen ist allerdings nicht nur Windows 10, da die fehlerhafte PDF-Bibliothek auch in anderen Betriebssystemen eingesetzt wird, etwa in Windows Server 2012 (auch R2), Windows 8.1 und Windows RT 8.1 - wobei ein Angriff auf Windows RT unwahrscheinlich erscheint. Das Gleiche gilt für die technische Vorschau von Windows Server 2016. Allerdings beschreibt Microsoft keinen Weg, wie ein Angriff funktionieren könnte. Unter Windows 10 reicht es, einen Edge-Nutzer auf einen Link mit einer PDF-Datei zu locken.

Die meisten Browser sind mittlerweile in der Lage, PDF-Dateien im Browser anzuzeigen. Sie ersetzen damit den lange vorherrschenden Adobe Reader, der als Plugin häufig die Anzeige von PDFs übernahm und in den vergangenen Jahren regelmäßig wegen Sicherheitslücken auffiel. Der Adobe Reader war und ist ein lohnenswertes Ziel, da die Plattform über mehrere Browser und Betriebssysteme verfügbar ist. Die Aufspaltung der PDF-Betrachter dürfte der Attraktivität als Schadsoftwareziel geschadet haben.

Doch die Ansicht im Browser garantiert keine Sicherheit, vor allem wenn es eine Standardoption ist, mit der Angreifer rechnen können. Auch einfache PDF-Betrachter als externe Programme können prinzipiell Sicherheitslücken beinhalten. Allerdings werden diese kaum untersucht und sind deswegen selten bekannt.

Um das Problem zu beheben, sollten die aktuellen Sicherheitsupdates über das Windows-Update installiert werden.



Anzeige
Blu-ray-Angebote
  1. 4,25€
  2. (Prime Video)

mikehak 10. Aug 2016

@FreiGeistler Nun ja, ich habe eben ein Raid am laufen. ;) Nur die Boot ist SSD, das ist...

FreiGeistler 10. Aug 2016

Um PDF kurz anzuschauen tuts mir auch Evince Portable (sehr schnell). Kennt jemand einen...

DerVorhangZuUnd... 10. Aug 2016

Tsss.... Aber eigentlich programmiert heute doch niemand ernsthafte Software so... Das...


Folgen Sie uns
       


The Crew 2 - Fazit

The Crew 2 bietet zum Teil wahnwitzige Neuerungen, stolpert im Test aber trotzdem über alte Fehler.

The Crew 2 - Fazit Video aufrufen
Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Autonomes Fahren Ford will lieber langsam sein
  2. Navya Mainz testet autonomen Bus am Rheinufer
  3. Drive-by-wire Schaeffler kauft Lenktechnik für autonomes Fahren

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Parker Solar Probe Sonnen-Sonde der Nasa erfolgreich gestartet
  2. Parker Solar Probe Nasa verschiebt Start seiner Sonnen-Sonde
  3. Raumfahrt Die neuen Astronauten für SpaceX und Boeing

Russische Agenten angeklagt: Mit Bitcoin und CCleaner gegen Hillary Clinton
Russische Agenten angeklagt
Mit Bitcoin und CCleaner gegen Hillary Clinton

Die US-Justiz hat zwölf russische Agenten wegen des Hacks im US-Präsidentschaftswahlkampf angeklagt. Die Anklageschrift nennt viele technische Details und erhebt auch Vorwürfe gegen das Enthüllungsportal Wikileaks.

  1. Fancy Bear Microsoft verhindert neue Phishing-Angriffe auf US-Politiker
  2. Nach Gipfeltreffen Trump glaubt Putin mehr als US-Geheimdiensten
  3. US Space Force Planlos im Weltraum

    •  /