Sicherheitslücken im Adobe Reader und anderen PDF-Betrachtern gehören bei Online-Kriminellen zu den beliebtesten Zielscheiben für Angriffe. Doch ein Sicherheitsforscher, der sich schon länger mit PDF-Lücken beschäftigt, demonstriert eine in der PDF-Spezifikation vorgesehene Möglichkeit zum Start externer Programme.
Didier Stevens kennt das von Adobe entwickelte und auf Postscript basierende Dateiformat PDF (Portable Document Format) wie kaum ein Zweiter – zumindest was seine Bedeutung für die IT-Sicherheit betrifft. Stevens macht auf eine Designschwäche aufmerksam , die ein aus heutiger Sicht ein Sicherheitsrisiko darstellt. Er demonstriert, dass eine PDF-Datei Code enthalten kann, die ein PDF-Betrachter ausführt, ohne eine Sicherheitslücke im üblichen Sinne aufzuweisen.
Die PDF-Spezifikation enthält einen Objekttyp “Action / Launch”, der ein externes Programm aufrufen kann, um in der PDF-Datei enthaltene Daten anzuzeigen. Stevens gibt jedoch an, auch Programme in die PDF-Datei einbetten zu können, die beim Öffnen der Datei gestartet würden. Javascript ist dazu nicht erforderlich, es abzuschalten hilft also nicht.
Testfall und alternative PDF-Betrachter
Ein von Stevens bereit gestelltes Testdokument öffnet einfach nur ein Kommandozeilenfenster, wenn es im Adobe Reader geladen wird. Adobe Reader zeigt immerhin eine Warnmeldung an und bietet die Möglichkeit die Aktion abzubrechen. Doch der Text der Warnmeldung kann vom Ersteller der Datei manipuliert werden, um den Anwender zu überzeugen die Aktion zuzulassen.
Foxit Reader öffnet die Eingabeaufforderung ohne jede Eingriffsmöglichkeit. Eine Option, um diese Möglichkeit auszuschalten, bietet Foxit nicht. Sumatra-PDF stürzt schlicht ab, ohne ein Fenster zu öffnen. GSview , das grafische Frontend für Ghostscript , öffnet die Datei klaglos, führt jedoch keine Aktion aus.
Im Adobe Reader hilft zumindest bei Stevens’ Demo-Datei eine Einstellungsoption, die Aktion zu unterbinden. Entfernen Sie unter Bearbeiten / Voreinstellungen / Berechtigungen den Haken bei “Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden” und Sie erhalten zukünftig nur noch einen Hinweis, dass die Aktion nicht ausgeführt werden kann.
Didier Stevens will weitere Details seiner Entdeckung zunächst nicht veröffentlichen. Er habe Adobe eine erweiterte Demo-Datei zur Verfügung gestellt, die eine eingebettete EXE-Datei öffne. Stevens will erstmal abwarten, ob Adobe und andere Hersteller eine Lösung anbieten.
Autor: Frank Ziemann, Autor
Frank Ziemann ist seit 2005 als freier Autor für die PC-WELT tätig, schreibt News und Testberichte. Seine Themenschwerpunkte sind IT-Sicherheit (Malware, Antivirus, Sicherheitslücken) und Internet-Technik.