Abo
  • Services:

Patchday: PDF-Sicherheitslücke betrifft Microsoft-Browser

Das mittlerweile im Browser übliche direkte Anzeigen von PDF-Dokumenten kann zu einem Sicherheitsproblem werden, wie ein aktueller Fall zeigt. Der Anwender muss bei Microsofts Edge-Browser auch ohne Adobe Reader auf Schad-PDFs achten.

Artikel veröffentlicht am ,
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren.
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren. (Bild: Golem.de)

In der PDF-Bibliothek von Windows steckt eine unangenehme Sicherheitslücke. Mit einem manipulierten PDF-Dokument kann ein Angreifer Code auf dem System des Nutzers ausführen und so das Betriebssystem in Teilen unter seine Kontrolle bringen. Wer als Standard-Nutzer angemeldet ist, hat weniger zu befürchten als der bei vielen Anwender noch übliche Einsatz eines Administratorzugangs für einfache Arbeiten. Gefährlich sind trotzdem beide Szenarien.

Stellenmarkt
  1. Bosch Sicherheitssysteme GmbH, Grasbrunn bei München
  2. Universität Hamburg, Hamburg

Problematisch ist, dass die PDF-Funktion Grundbestandteil des Standardbrowsers Edge von Windows 10 ist. Die meisten Anwender, die Edge verwendeten, sind also ohne die Aktualisierungen des August-Patchdays angreifbar, wenn sie die Standardeinstellungen für die Anzeige von PDF-Dokumenten nicht verändert haben. Der Sicherheitslücke wurde der CVE-Code CVE-2016-3319 zugeordnet. Sie hat laut Microsoft die höchste Gefahreneinstufung.

Auch andere Betriebssysteme sind betroffen

Betroffen ist allerdings nicht nur Windows 10, da die fehlerhafte PDF-Bibliothek auch in anderen Betriebssystemen eingesetzt wird, etwa in Windows Server 2012 (auch R2), Windows 8.1 und Windows RT 8.1 - wobei ein Angriff auf Windows RT unwahrscheinlich erscheint. Das Gleiche gilt für die technische Vorschau von Windows Server 2016. Allerdings beschreibt Microsoft keinen Weg, wie ein Angriff funktionieren könnte. Unter Windows 10 reicht es, einen Edge-Nutzer auf einen Link mit einer PDF-Datei zu locken.

Die meisten Browser sind mittlerweile in der Lage, PDF-Dateien im Browser anzuzeigen. Sie ersetzen damit den lange vorherrschenden Adobe Reader, der als Plugin häufig die Anzeige von PDFs übernahm und in den vergangenen Jahren regelmäßig wegen Sicherheitslücken auffiel. Der Adobe Reader war und ist ein lohnenswertes Ziel, da die Plattform über mehrere Browser und Betriebssysteme verfügbar ist. Die Aufspaltung der PDF-Betrachter dürfte der Attraktivität als Schadsoftwareziel geschadet haben.

Doch die Ansicht im Browser garantiert keine Sicherheit, vor allem wenn es eine Standardoption ist, mit der Angreifer rechnen können. Auch einfache PDF-Betrachter als externe Programme können prinzipiell Sicherheitslücken beinhalten. Allerdings werden diese kaum untersucht und sind deswegen selten bekannt.

Um das Problem zu beheben, sollten die aktuellen Sicherheitsupdates über das Windows-Update installiert werden.



Anzeige
Top-Angebote
  1. 299€
  2. 499€ + Versand
  3. (-80%) 3,99€

mikehak 10. Aug 2016

@FreiGeistler Nun ja, ich habe eben ein Raid am laufen. ;) Nur die Boot ist SSD, das ist...

FreiGeistler 10. Aug 2016

Um PDF kurz anzuschauen tuts mir auch Evince Portable (sehr schnell). Kennt jemand einen...

DerVorhangZuUnd... 10. Aug 2016

Tsss.... Aber eigentlich programmiert heute doch niemand ernsthafte Software so... Das...


Folgen Sie uns
       


Rimac Concept Two (C_Two) angesehen (Genf 2018)

Wir haben uns auf dem Genfer Autosalon 2018 den C_Two von Rimac angesehen.

Rimac Concept Two (C_Two) angesehen (Genf 2018) Video aufrufen
P20 Pro im Kameratest: Huaweis Dreifach-Kamera schlägt die Konkurrenz
P20 Pro im Kameratest
Huaweis Dreifach-Kamera schlägt die Konkurrenz

Mit dem P20 Pro will Huawei sich an die Spitze der Smartphone-Kameras katapultieren. Im Vergleich mit der aktuellen Konkurrenz zeigt sich, dass das P20 Pro tatsächlich über eine sehr gute Kamera verfügt: Die KI-Funktionen können unerfahrenen Nutzern zudem das Fotografieren erleichtern.
Ein Test von Tobias Költzsch

  1. Android Huawei präsentiert drei neue Smartphones ab 120 Euro
  2. Wie Samsung Huawei soll noch für dieses Jahr faltbares Smartphone planen
  3. Porsche Design Mate RS Huawei bringt 512-GByte-Smartphone für 2.100 Euro

Ryzen 7 2700X im Test: AMDs Zen+ zieht gleich mit Intel
Ryzen 7 2700X im Test
AMDs Zen+ zieht gleich mit Intel

Der neue Ryzen 7 2700X gehört zu den schnellsten CPUs für 300 Euro. In Anwendungen schlägt er sich sehr gut und ist in Spielen oft überraschend flott. Besonders schön: die Abwärtskompatibilität.
Ein Test von Marc Sauter und Sebastian Grüner

  1. Ryzen 2400GE/2200GE AMD veröffentlicht sparsame 35-Watt-APUs
  2. AMD-Prozessor Ryzen-Topmodell 7 2700X kostet 320 Euro
  3. Spectre v2 AMD und Microsoft patchen CPUs bis zurück zum Bulldozer

Physik: Maserlicht aus Diamant
Physik
Maserlicht aus Diamant

Ein Stickstoff-Fehlstellen-basierter Maser liefert kontinuierliche und kohärente Mikrowellenstrahlung bei Raumtemperatur. Eine mögliche Anwendung ist die Kommunikation mit Satelliten.
Von Dirk Eidemüller

  1. Colorfab 3D-gedruckte Objekte erhalten neue Farbgestaltung
  2. Umwelt China baut 100-Meter-Turm für die Luftreinigung
  3. Crayfis Smartphones sollen kosmische Strahlung erfassen

    •  /