Sicherheitsrisiko PDF

SicherheitSicherheitsmanagement

In PDF-Dokumente lassen sich ausführbare Dateien einbetten, die per Skript automatisch gestartet werden. Ein erhebliches Risiko meinen Sicherheitsexperten – laut Adobe aber keine Sicherheitslücke, da in den PDF-Spezifikationen genau dies vorgesehen ist.

Sicherheitsexperten haben gezeigt, wie es möglich ist, mithilfe eines PDF-Datei einen Rechner mit Malware zu infizieren. Dafür mussten sie nicht einmal eine Sicherheitslücke im Dateiformat oder einem der zum Betrachten genutzten Programme ausnutzen. Sie brauchten nur geschickt Skripte und EXE-Dateien einbetten, die dann automatisch ausgeführt wurden.

Bei Foxit hat man bereits ein Update für den Foxit Reader bereit gestellt, das das Problem lösen soll. Bei Adobe verzichtet man dagegen auf ein Update – die Möglichkeit, ausführbare Dateien einzubetten sei in den Spezifikationen vorgesehen und sinnvoll. Man sieht aber ein, dass es ein gewisses Missbrauchspotenzial gibt und hat daher einen Workaround beschrieben, mit dem sich die Funktionen abschalten lassen. (Daniel Dubsky)