Foxit Reader führt Schadcode aus

Der Sicherheitsfachmann Didier Stevens hat ein PDF-Dokument so manipuliert, dass PDF-Lesesoftware darin versteckten Code ausführt. Besonders kritisch ist das für alle Nutzer, die alte Versionen von Foxit Reader verwenden, da das Programm nicht nachfragt, bevor es den Code ausführt. Wer das PDF liest, hat also keine Möglichkeit, zu verhindern, dass das Programm den .exe-Code, der im Dokument versteckt ist, ausführt. Aufmerksame Nutzer von Adobe Reader haben bessere Chancen. Adobe Reader fragt nach, ob er den Code ausführen soll. Allerdings lässt sich die Meldung, mit der das Programm nachfragt, manipulieren: So hat Stevens in seinem Beispiel die Meldung so formuliert, dass Adobe Reader zwar warnt, dass solcher Code Makros oder Viren enthalten kann, aber er ergänzt: "Wenn Sie die verschlüsselte Nachricht sehen wollen, die in diesem PDF-Dokument verborgen ist, klicken Sie auf 'Öffnen'!" Unbedarfte oder neugierige Nutzer können so dazu animiert werden, den schädlichen Code auszuführen.

Das Problem zu beheben, gestaltet sich schwierig, da Stevens' Exploit nicht auf einer Sicherheitslücke basiert, die etwa ein Javascript verwendet. Vielmehr lotet der Sicherheitsexperte mit seinem Hack nur die Tiefen der PDF-Spezifikation aus. Stevens beschreibt in seinem Blog einen Weg, wie sich Adobe Reader daran hindern lässt, einen neuen Prozess zu starten - dann funktioniert allerdings auch die Update-Benachrichtigung nicht mehr.

Die Entwickler von Foxit Reader haben schnell reagiert und die neue Version 3.2.1.0401 veröffentlicht. Sie soll das Sicherheitsproblem beheben.