com!-Academy-Banner
Sicherheit

Foxit Reader führt Schadcode aus

von - 05.04.2010
Foxit Reader führt Schadcode aus
Ein Sicherheitsexperte hat einen Weg gefunden, ein PDF so zu manipulieren, dass PDF-Leseprogramme wie Foxit oder Adobe Reader Programmcode ausführen, der im PDF versteckt ist. Dabei greift der Hacker nicht auf eine Sicherheitslücke zurück, sondern macht sich eine Schwäche der PDF-Spezifikation zu Nutze.
Der Sicherheitsfachmann Didier Stevens hat ein PDF-Dokument so manipuliert, dass PDF-Lesesoftware darin versteckten Code ausführt. Besonders kritisch ist das für alle Nutzer, die alte Versionen von Foxit Reader verwenden, da das Programm nicht nachfragt, bevor es den Code ausführt. Wer das PDF liest, hat also keine Möglichkeit, zu verhindern, dass das Programm den .exe-Code, der im Dokument versteckt ist, ausführt. Aufmerksame Nutzer von Adobe Reader haben bessere Chancen. Adobe Reader fragt nach, ob er den Code ausführen soll. Allerdings lässt sich die Meldung, mit der das Programm nachfragt, manipulieren: So hat Stevens in seinem Beispiel die Meldung so formuliert, dass Adobe Reader zwar warnt, dass solcher Code Makros oder Viren enthalten kann, aber er ergänzt: "Wenn Sie die verschlüsselte Nachricht sehen wollen, die in diesem PDF-Dokument verborgen ist, klicken Sie auf 'Öffnen'!" Unbedarfte oder neugierige Nutzer können so dazu animiert werden, den schädlichen Code auszuführen.
Das Problem zu beheben, gestaltet sich schwierig, da Stevens' Exploit nicht auf einer Sicherheitslücke basiert, die etwa ein Javascript verwendet. Vielmehr lotet der Sicherheitsexperte mit seinem Hack nur die Tiefen der PDF-Spezifikation aus. Stevens beschreibt in seinem Blog einen Weg, wie sich Adobe Reader daran hindern lässt, einen neuen Prozess zu starten - dann funktioniert allerdings auch die Update-Benachrichtigung nicht mehr.
Die Entwickler von Foxit Reader haben schnell reagiert und die neue Version 3.2.1.0401 veröffentlicht. Sie soll das Sicherheitsproblem beheben.
Verwandte Themen