PDF-Sicherheitslücke: Entwickler reagieren unterschiedlich

SicherheitSicherheitsmanagement

Ende März zeigte der Sicherheitsexperte Didier Stevens in seinem Blog eine Möglichkeit, einen Computer mit Hilfe einer PDF-Datei zu infizieren. Er nutzte dafür die Option, dass man in PDFs Skripte und EXE-Dateien einbetten kann, die beim Betrachten ausgeführt werden. Malware könnten so in den Rechner eingeschleust werden.

Von diesem Problem sind Anwender der PDF-Betrachter Adobe Reader und Foxit betroffen. Die Entwickler von Foxit haben inzwischen ein Update veröffentlicht, das das Problem lösen soll. Adobe reagiert hingegen mit einem Workaround und sieht die Möglichkeit, ausführbare Dateien in eine PDF-Datei einzubetten, nicht generell als Schwachpunkt, da sie zur PDF-Spezifikation gehört und durchaus sinnvoll ist. Allerdings könne sie auch falsch eingesetzt werden und so für Gefahr sorgen. Daher rät Adobe zum einen, nur PDFs aus vertraulichen Quellen zu öffnen.

Zum anderen können User die standardmäßig aktivierte Funktion zur Ausführung von eingebetteten Skripten und EXE-Dateien abschalten. Wer also sicher gehen will, öffnet den Einstellungsdialog des Adobe Readers über „Bearbeiten/Voreinstellungen“, klickt in der linken Spalte auf „Berechtigungen“ und entfernt das Häkchen vor „Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden“.

Administratoren, die diese Einstellung zum Beispiel unternehmensweit vornehmen wollen, können dies mit einem Eingriff in die Registry tun: Im Registry-Ast HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\\Originals muss ein neuer Wert vom Typ REG_DWORD mit dem Namen „bSecureOpenFile“ und dem Wert „1“ angelegt werden. Wer verhindern will, dass Benutzer diese Einstellung wieder rückgängig machen, legt einen weiteren DWORD-Wert mit den Namen „bSecureOpenFile“ und dem Wert „1“ im selben Ast an. (Christian Lanzerath)