179242

Ist die PDF-Designschwäche Wurm-tauglich?

07.04.2010 | 15:31 Uhr |

Die Möglichkeit zum Start eines Programms aus einer PDF-Datei heraus ist doch schon länger bekannt. Ein Sicherheitsforscher meint nun, sie könnte auch dazu taugen einen Wurm zu verbreiten, der PDF-Dateien infiziert.

Ausgegraute Option im Adobe Reader
Vergrößern Ausgegraute Option im Adobe Reader
© 2014

In der letzten Woche ist eine Designschwäche in der PDF-Spezifikation ins Licht der Öffentlichkeit gerückt, die das Ausführen von EXE-Dateien aus PDF-Dokumenten heraus ermöglicht. Tatsächlich hatten bereits vor fast einem Jahr zwei andere Sicherheitsforscher darauf hin gewiesen. Ein weiterer Forscher hat daraus nun ein Konzept entwickelt, wie ein Wurm alle auf einem Rechner vorhandenen PDF-Dateien infizieren könnte.

Jeremy Conway demonstriert seinen Beispiel-Code in einem Video. Er weist darauf hin, dass dazu die "Launch"-Methode, die PDF-Dateien das Starten von Programmen ermöglicht, nicht unbedingt erforderlich ist. Conway nutzt zur Infektion von PDF-Dokumenten eine weitere Fähigkeit von PDF-Dateien, nämlich die Möglichkeit inkrementeller Updates. Damit manipuliert er auf einem Rechner gefundene PDF-Dokumente so, dass sie schädlichen Code enthalten, der beim Öffnen ausgeführt wird. Auf diese Weise werden PDF-Dateien, die schon sehr lange auf dem Rechner eines Anwenders herum liegen und vermeintlich harmlos sind, zu einem Angriffsvektor.

Adobe hat unterdessen zu dem Problem Stellung genommen. Die veröffentlichten Angriffsmethoden zeigten, schreibt Steve Gottwals im Adobe Reader Blog , welche Risiken eine so mächtige Funktionalität in sich bergen könne. Adobe betrachte die Warnung, die Adobe Reader und Acrobat vor der Programmausführung anzeigen, als guten Schutz. Man werde die Entwicklung weiter beobachten und inzwischen nach Wegen suchen Anwendern und Administratoren besser Steuerungsmöglichkeiten zu bieten.

Bis dahin empfiehlt Adobe Anwendern die bereits von uns vorgestellte Konfigurationsoption , um das Starten von Programm aus PDF-Dateien zu verhindern. Eine Methode für Administratoren in Unternehmensnetzwerken zeigt Steve Gottwals ebenfalls auf. Admins können im Registry-Schlüssel HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\Originals dem Eintrag "bAllowOpenFile" den Wert "0" zuweisen. Dies hat den gleichen Effekt wie die vorgenannte Methode für Anwender. Um Benutzer daran zu hindern diese Option zu ändern, können Admins zudem im gleichen Schlüssel den DWORD-Eintrag "bSecureOpenFile" anlegen und ihm den Wert "1" zuweisen. Dann ist diese Option ausgegraut. Analog dazu kann für Adobe Acrobat verfahren werden.

Beim Foxit Reader hat der Hersteller mit dem Update auf Version 3.2.1 immerhin eine Warnmeldung vor dem Ausführen von EXE-Dateien eingebaut.

0 Kommentare zu diesem Artikel
179242