Unternehmen kritisieren Workaround für Adobe-PDF-Lücke

Unternehmen haben die Wirksamkeit des von Adobe empfohlenen Workarounds für die in der letzten Woche aufgetauchte ungepatchte JavaScript-Lücke im Adobe Reader kritisiert. Statt JavaScript in PDF-Dokumenten zu deaktivieren, führt die von Adobe genannte Einstellung nur dazu, dass der Anwender aufgefordert wird, beim Öffnen einer Datei JavaScript wieder zu aktivieren.

„Der Nutzer sieht nur einen Dialog, der ihn darüber informiert, dass die PDF-Datei eventuell nicht richtig funktioniert, weil JavaScript ausgeschaltet ist“, sagt Erik Cabetas, Sicherheitsexperte eines New Yorker E-Commerce-Anbieters. Die meisten Anwender schalteten JavaScript wieder ein, da die Meldung keinen Hinweis auf ein mögliches Sicherheitsrisiko enthalte.

Randy Abrams, Direktor für Technical Education beim Sicherheitsanbieter Eset, forderte Adobe auf, für JavaScript jene Sicherheitseinstellungen einzuführen, die bei Microsoft seit Jahren für Makros in Office-Dokumenten gültig seien. Microsoft habe aus seinen Fehlern und den Gefahren durch Makroviren gelernt, während es Adobe versäume, die Nutzer über die Gefahren von JavaScript aufzuklären.

In der letzten Woche hatte Adobe vor einer Schwachstelle im Adobe Reader gewarnt und als Sicherheitsvorkehrung dazu geraten, in den Voreinstellungen Acrobat JavaScript auszuschalten. Einen Patch für die Lücke hat Adobe für den 12. Mai angekündigt.