180188

Adobe Reader führt noch immer EXE-Dateien aus

02.07.2010 | 15:40 Uhr |

Die in dieser Woche von Adobe bereit gestellte neueste Version des PDF-Betrachters soll das Ausführen von EXE-Programmen aus PDF-Dokumenten heraus verhindern. Doch ein simpler Trick hebelt den Schutz aus.

Am 29. Juni hat Adobe seinen für den 13. Juli geplanten Patch Day vorgezogen und Sicherheits-Updates für Adobe Reader und Acrobat bereit gestellt. Darin hat der Hersteller etliche Sicherheitslücken beseitigt. So ganz nebenbei soll Adobe Reader 9.3.3 auch den Missbrauch einer an sich legitimen PDF-Funktion unterbinden.

Die so genannte "/Launch"-Funktion erlaubt es einem PDF-Dokument eine EXE-Datei zu starten, die entweder schon auf dem PC vorhanden oder im PDF enthalten ist. Online-Kriminelle nutzen die von Didier Stevens vor Monaten öffentlich gemachte Schwachstelle bereits seit einiger Zeit aus, um Malware einzuschleusen, die in eine PDF-Datei eingebettet ist.

Adobe will dieses Einfallstor im Adobe Reader 9.3.3 abgedichtet haben. Doch Le Manh Tung, leitender Sicherheitsforscher beim vietnamesischen Sicherheitsunternehmen Bkis, hat einen Weg gefunden, den Schutz zu umgehen . Er setzt den Befehl im Aufrufparameter innerhalb der PDF-Datei einfach in Anführungszeichen.

Bei einer derart modifizierten PDF-Datei bietet Adobe Reader 9.3.3 wieder an die Programmdatei zu öffnen, im Beispiel den Windows-Taschenrechner (calc.exe). Bei der unmodifizierten Datei blockiert Adobe Reader den Programmstart. Immerhin scheint Adobe die Manipulation der angezeigten Meldung wirksam unterbinden zu können.

In der aktuellen Version 4.0 des Foxit Reader klappt der Trick hingegen nicht.

0 Kommentare zu diesem Artikel
180188