PDF-Trick: Update von Foxit, Tipp von Adobe
07. April 2010, 17:16 Uhr · Quelle: toptechnews.de
Kürzlich zeigte der Sicherheitsexperte Didier Stevens, wie ein PDF-Dokument eine eingebettete .exe-Datei ausführte. Das pikante daran: Es war keine offene Sicherheitslücke erforderlich, das Schlupfloch steckt in der PDF-Spezifikation. Adobe hat nun auf diese mögliche Gefahr reagiert und vermittelt in einem Eintrag im Adobe Reader Blog, wie sich ein solches Risiko verringern lässt. Die Entwickler der Freeware Foxit Reader haben bereits ein Update veröffentlicht.

Didier Stevens zeigt, wie sich durch die Veränderung des Textes der Sinn der Warnmeldung verändern lässt.
Screenshot: onlinekosten.de.
Adobe ist eigenen Angaben zufolge noch dabei, den besten Weg für eine Lösung herauszufinden. Der Software-Konzern stellt seit einiger Zeit in regelmäßigen Abständen Updates bereit, wie Microsoft mit seinem Patchday, und könnte sich eine der nächsten Aktualisierungsrunden als Plattform für die erarbeitete Lösung vorstellen.
Der Foxit Reader zeigte im Gegensatz zu Adobes PDF Reader erst gar keine Warnung an und führte die Datei sofort aus. Die Entwickler steuerten jedoch bereits dagegen und veröffentlichten ein Update. Der neue Foxit Reader 3.2.1.0401 steht über die Website zum Download bereit.
"Schwachstelle": /launch-Funktion
Möglich wird das Einschmuggeln einer ausführbaren Datei über die in der PDF-Spezifikation beschriebene /launch-Funktion. Der Adobe Reader bittet vor dem Öffnen um Erlaubnis, der Hinweis im Warntext kann aber zum Teil verändert werden. Wie der Experte beispielhaft vorführt, lässt sich die Angabe im Textfeld so beeinflussen, dass im Zusammenhang betrachtet der Öffnen-Button für den Nutzer plausibel erscheint, obwohl dieser bei einer unbekannten .exe-Datei normalerweise gerade nicht angeklickt werden sollte. Die vorläufige Lösung für den Adobe Reader ist das Ändern der Einstellungen im Trust Manager. In der deutschen Version entspricht dies den Berechtigungen, die sich über die Voreinstellungen aufrufen lassen. Dort sollte der Haken in der ersten Checkbox ("Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden") entfernt werden. Für Administratoren nennt Adobe auch die nötigen Angaben für die Windows Registry. Adobe Acrobat ist gleichermaßen betroffen, Didier Stevens testete Windows XP SP3 und Windows 7.
Didier Stevens zeigt, wie sich durch die Veränderung des Textes der Sinn der Warnmeldung verändern lässt.
Screenshot: onlinekosten.de.
Adobe ist eigenen Angaben zufolge noch dabei, den besten Weg für eine Lösung herauszufinden. Der Software-Konzern stellt seit einiger Zeit in regelmäßigen Abständen Updates bereit, wie Microsoft mit seinem Patchday, und könnte sich eine der nächsten Aktualisierungsrunden als Plattform für die erarbeitete Lösung vorstellen.
Der Foxit Reader zeigte im Gegensatz zu Adobes PDF Reader erst gar keine Warnung an und führte die Datei sofort aus. Die Entwickler steuerten jedoch bereits dagegen und veröffentlichten ein Update. Der neue Foxit Reader 3.2.1.0401 steht über die Website zum Download bereit.

