Zum Hauptinhalt Zur Navigation
Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Patchday: PDF-Sicherheitslücke betrifft Microsoft-Browser

Das mittlerweile im Browser übliche direkte Anzeigen von PDF-Dokumenten kann zu einem Sicherheitsproblem werden, wie ein aktueller Fall zeigt. Der Anwender muss bei Microsofts Edge- Browser auch ohne Adobe Reader auf Schad-PDFs achten.
/ Andreas Sebayang
16 Kommentare News folgen (öffnet im neuen Fenster)
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren. (Bild: Golem.de)
Wer mit Edge PDF-Dateien anschaut, sollte ein Sicherheitsupdate installieren. Bild: Golem.de

In der PDF-Bibliothek von Windows steckt eine unangenehme Sicherheitslücke(öffnet im neuen Fenster) . Mit einem manipulierten PDF-Dokument kann ein Angreifer Code auf dem System des Nutzers ausführen und so das Betriebssystem in Teilen unter seine Kontrolle bringen. Wer als Standard-Nutzer angemeldet ist, hat weniger zu befürchten als der bei vielen Anwender noch übliche Einsatz eines Administratorzugangs für einfache Arbeiten. Gefährlich sind trotzdem beide Szenarien.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT-Spezialist ERP-Schnittstellen (m/w/d) A.T.U Auto-Teile-Unger GmbH & Co. KG, Weiden,Home Office (öffnet im neuen Fenster)
Mitarbeiter/-in im IT-Support & Helpdesk (m/w/d) - CIT2025-41 Technische Universität München, München (öffnet im neuen Fenster)
IT-Security Expert (m/w/d) Techniker Krankenkasse, Hamburg (öffnet im neuen Fenster)
Sachbearbeitung Telekommunikationssysteme (w/m/d) KommunalBIT AöR, Fürth (öffnet im neuen Fenster)
Duales Studium zum Bachelor of Engineering Technisches Facility Management (w/m/d) Bundesanstalt für Immobilienaufgaben, Berlin (öffnet im neuen Fenster)
KI & Cloud Expert*in VDI GmbH, Düsseldorf (öffnet im neuen Fenster)
IT-Systemadministrator (m/w/d) Handwerkskammer für München und Oberbayern, München (öffnet im neuen Fenster)
Berater:in (m/w/d) für das Projekt „KI-Kompetenz Rheinisches Revier (KIK:RR) TBS beim DGB NRW e. V., Düsseldorf (öffnet im neuen Fenster)

Problematisch ist, dass die PDF-Funktion Grundbestandteil des Standardbrowsers Edge von Windows 10 ist. Die meisten Anwender, die Edge verwendeten, sind also ohne die Aktualisierungen des August-Patchdays angreifbar, wenn sie die Standardeinstellungen für die Anzeige von PDF-Dokumenten nicht verändert haben. Der Sicherheitslücke wurde der CVE-Code CVE-2016-3319(öffnet im neuen Fenster) zugeordnet. Sie hat laut Microsoft die höchste Gefahreneinstufung.

Auch andere Betriebssysteme sind betroffen

Betroffen ist allerdings nicht nur Windows 10, da die fehlerhafte PDF-Bibliothek auch in anderen Betriebssystemen eingesetzt wird, etwa in Windows Server 2012 (auch R2), Windows 8.1 und Windows RT 8.1 - wobei ein Angriff auf Windows RT unwahrscheinlich erscheint. Das Gleiche gilt für die technische Vorschau von Windows Server 2016. Allerdings beschreibt Microsoft keinen Weg, wie ein Angriff funktionieren könnte. Unter Windows 10 reicht es, einen Edge-Nutzer auf einen Link mit einer PDF-Datei zu locken.

Die meisten Browser sind mittlerweile in der Lage, PDF-Dateien im Browser anzuzeigen. Sie ersetzen damit den lange vorherrschenden Adobe Reader, der als Plugin häufig die Anzeige von PDFs übernahm und in den vergangenen Jahren regelmäßig wegen Sicherheitslücken auffiel. Der Adobe Reader war und ist ein lohnenswertes Ziel, da die Plattform über mehrere Browser und Betriebssysteme verfügbar ist. Die Aufspaltung der PDF-Betrachter dürfte der Attraktivität als Schadsoftwareziel geschadet haben.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Doch die Ansicht im Browser garantiert keine Sicherheit, vor allem wenn es eine Standardoption ist, mit der Angreifer rechnen können. Auch einfache PDF-Betrachter als externe Programme können prinzipiell Sicherheitslücken beinhalten. Allerdings werden diese kaum untersucht und sind deswegen selten bekannt.

Um das Problem zu beheben, sollten die aktuellen Sicherheitsupdates über das Windows-Update installiert werden.

Zur Startseite 16 Kommentare

Relevante Themen

SoftwareBetriebssystemeSecuritySicherheitslückeUpdates & PatchesDatensicherheitPatchdayServer