Adobe Reader: 50 Schwachstellen in 50 Tagen

Check Point Research hat es mit ausgeklügelten Methoden geschafft, in 50 Tagen dieselbe Anzahl von Sicherheitslücken im PDF-Viewer Adobe Reader aufzudecken. Das gelang der Sicherheitsfirma mithilfe einer als Fuzz Testing oder Fuzzing bezeichneten Technik. Durch die automatisierte Eingabe großer Mengen zufälliger Daten in ein System – mit dem Ziel, einen Absturz auszulösen – lassen sich mit Fuzzing Programmierfehler in Software, Betriebssystemen oder Netzwerken aufdecken. Das soll eine spätere Nutzung simulieren, bei der nicht immer nur plausible Daten zu verarbeiten sind. Tritt ein Fehler auf, kann ein Fuzz Tester oder Fuzzer genanntes Tool Hinweise auf die möglichen Ursachen liefern. Das Fuzzing wurde bereits 1989 an der University of Wisconsin-Madison entwickelt, aber im Laufe der Jahre zu einer immer ausgereifteren und effektiveren Technik für Softwaretests entwickelt.

Bei Checkpoint kam das Windows-Fuzzing-Framework WinAFL zum Einsatz gegen Adobe Reader, der zweifellos zu den weltweit verbreitetsten Softwareprodukten zählt. Über ihren Erfolg waren die Sicherheitsforscher selbst verblüfft: „Das ist durchschnittlich eine Schwachstelle pro Tag – nicht eben die übliche Geschwindigkeit bei dieser Art von Forschung.“ In einem Blogeintrag berichteten sie ausführlich über die angewandten Methoden.

AFL (American Fuzzy Lop) beschrieben sie als einen extrem solide implementierten Fuzzer mit einer ausgeklügelten Heuristik – „nachgewiesen äußerst erfolgreich darin, echte Bugs in echter Software zu finden“. Das für die Fehlersuche genutzte WinAFL ist ein Fork von AFL for Windows, geschaffen und gepflegt von Ivan Fratric (Google Project Zero). Laut Checkpoint eignet sich die Windows-Version durch ihren Instrumentationsstil besonders, wenn ausführbare Programme mit geschlossenem Quellcode das Ziel sind. „Wir fanden WinAFL besonders effektiv darin, Format-Bugs zu finden, insbesondere in komprimierten binären Formaten (Bilder / Videos / Archive)“, merkten die Forscher an.

Das Fuzzing-Setup bestand aus einer VM mit 8 bis 16 Rechenkernen und 32 GByte RAM mit Windows 10 (64 Bit) als Betriebssystem. Das Fuzzing erfolgte auf einem RAM-Laufwerk, wofür das ImDisk-Toolkit genutzt wurde. Aus Performancegründen wurde außerdem Windows Defender deaktiviert. Diese Strategie wurde mit der Entdeckung von insgesamt 53 kritischen Fehlern belohnt, die inzwischen als Common Vulnerabilities and Exposures (CVE) offengelegt sind. Einer der so ausgemachten Fehler wurde kurz zuvor bereits an Adobe gemeldet und offenbar tatsächlich schon aktiv ausgenutzt.

Die aufgedeckten Schwachstellen lösten eine heftige Debatte um Adobe Reader und seine Zukunft auf der Social-News-Website Hacker News aus. „Adobe Reader braucht seinen HTML5-Moment“, argumentierte Forumsteilnehmer Technion und spielte damit auf den Niedergang von Adobe Flash an. „Eine Alternative, die nicht nur ‚gut genug für die meisten Anwender‘, sondern tatsächlich besser ist.“