Sicherheitsforscher demonstriert Lücke in PDF-Spezifikation

Ein Sicherheitsforscher hat ein Proof-of-Concept für einen Fehler im Portable Document Format (PDF) demonstriert. Er ermöglicht es, mit einer manipulierten PDF-Datei Malware in auf einem Computer gespeicherte, saubere PDF-Dateien einzuschleusen. Da der Fehler nicht in einem bestimmten Viewer, sondern in der Formatspezifikation steckt, sind alle PDF-Viewer anfällig, die die fehlerhafte Funktion unterstützen, darunter Adobe Reader und Foxit Reader.

Der Schadcode wird laut Jeremy Conway, Produktmanager von NitroSecurity, als Teil eines inkrementellen Updates eingefügt und kann auf beliebige PDF-Dateien angewendet werden. Deaktivierung von JavaScript schütze nicht vor den Folgen eines Angriffs.

Allerdings müssen Anwender zuerst über einen Dialog der Ausführung des Codes zustimmen. Angreifer haben aber zumindest teilweise Kontrolle über den Inhalt des Dialogs und könnten einen Nutzer mit Social Engineering dazu bringen, die Ausführung des Schadcodes zu erlauben, so Conway. Den Angriff zeigt Conway in einem Video.

Conways Proof-of-Concept nutzt denselben Fehler aus, den der belgische Sicherheitsforscher Didier Stevens in der vergangenen Woche beschrieben hat. „Stevens‘ Demonstration basiert auf der Funktion /launch, die in den PDF-Spezifikationen definiert ist“, so ein Adobe-Sprecher. Die Warnmeldung, die in Reader und Acrobat erscheine, weise in deutlichen Worten auf mögliche Gefahren hin und rate, Dateien nur dann auszuführen, wenn sie aus einer vertrauenswürdigen Quelle stammten.

Foxit, Anbieter des gleichnamigen PDF-Readers, kündigte die Veröffentlichung eines Updates an. „Nachdem wir von einem möglichen Sicherheitsproblem gehört haben, hat unser Entwicklerteam mit der Arbeit begonnen und in weniger als 24 Stunden eine Lösung gefunden.“ Man müsse sie aber noch testen. Eine aktualisierte Version von Foxit Reader erscheine in den nächsten drei Tagen.