[Warning] Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern

[L. Aaron Kaplan]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF 
Viewern

   31. März 2010

   Kritische Design-Sicherheitslücken in PDF Viewern

Beschreibung

   Wie Didier Stevens in [1]seinem Blogeintrag berichtet, gibt es eine
   sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen
   Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen
   alternativen PDF Viewern, wie z.B. [2]Foxit, ausnützbar ist. Ein
   Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige
   Kommandos starten und somit auch Schadcode auf den Rechner des
   Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer
   ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise
   reicht es sogar, wenn das PDF nur auf einer Website liegt.

   Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese
   Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode
   aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt
   werden.

Auswirkungen

   Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der
   Option "Launch Actions/Launch File" ist es laut PDF Spezifikation
   möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser
   Umstand läßt sich aber auch zum Nachladen und Installieren von
   Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit
   vorhanden, den Benutzer vor der Ausführung von Programmen mit einem
   Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht
   umgehen.

Betroffene Systeme

   Systeme, auf denen folgende PDF Viewer installiert sind:
     * Adobe Reader: für Windows alle Versionen bis zur aktuellen Version
       9.3
     * Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
     * Foxit Reader: alle Versionen

   Es sind vermutlich noch weitere PDF Viewer auf verschiedenen
   Betriebsystemen betroffen. Nicht betroffen ist das Preview Programm auf
   Mac OS X.

Abhilfe

   Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt
   sich die Option zum Starten externer Programme nur deaktivieren. Dies
   kann auf folgenden zwei Wegen erreicht werden:
    1. in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen
       -> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet
       werden" deaktivieren
    2. Unternehmensweit per Windows Registry:
       HKEY_CURRENT_USER\Software\Adobe\Acrobat
       Reader\9.0\Originals\bAllowOpenFile auf "0" setzen. Sollte dieser
       Registry Key nicht existieren, kann er einfach angelegt werden
       (bitte beachten sie, den aktuellen Pfad gegebenenfalls an die
       Version des installierten Readers anzupassen).

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

References

   1. http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
   2. http://www.foxitsoftware.com/pdf/reader/
   3. http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-
	ohne-konkrete-Sicherheitsluecke-968031.html
   4. http://blog.didierstevens.com/2010/03/29/escape-from-pdf/

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)

iD8DBQFLs2bbLXqZes2uTbYRAh6PAJ9cvzBwc9oSxdVyRx6cZEgRXyxVLgCfUKzD
uGThV2cZzHnqVr4XzkOlnN4=
=oRR/
-----END PGP SIGNATURE-----