[Warning] Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF Viewern
L. Aaron Kaplan
kaplan at cert.at
Wed Mar 31 17:21:42 CEST 2010
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Design-Sicherheitslücken in Adobe Reader, Acrobat, Foxit und anderen PDF
Viewern
31. März 2010
Kritische Design-Sicherheitslücken in PDF Viewern
Beschreibung
Wie Didier Stevens in [1]seinem Blogeintrag berichtet, gibt es eine
sicherheitsrelevante Design-Lücke im PDF Format, welche bei aktuellen
Versionen von Adobe Reader und Acrobat bis inkl. 9.3 und anderen
alternativen PDF Viewern, wie z.B. [2]Foxit, ausnützbar ist. Ein
Angreifer kann hierbei aus dem PDF Viewer eines Benutzers beliebige
Kommandos starten und somit auch Schadcode auf den Rechner des
Benutzers kopieren und installieren. Es reicht dabei, dass der Benutzer
ein entsprechend modifiziertes PDF Dokument ansieht. Üblicherweise
reicht es sogar, wenn das PDF nur auf einer Website liegt.
Da PDF in Unternehmen sehr weit verbreitet ist, schätzt CERT.at diese
Bedrohung als kritisch ein. Zusätzlich ist mittlerweile Beispielcode
aufgetaucht. Somit kann die Lücke via Internet leicht ausgenutzt
werden.
Auswirkungen
Die Lücke ist an sich eine Design Schwachstelle im PDF Format. Mit der
Option "Launch Actions/Launch File" ist es laut PDF Spezifikation
möglich, beliebige Programme aus dem PDF Viewer zu starten. Dieser
Umstand läßt sich aber auch zum Nachladen und Installieren von
Schadsoftware ausnützen. Im Adobe Reader ist zwar die Möglichkeit
vorhanden, den Benutzer vor der Ausführung von Programmen mit einem
Popup Fenster zu fragen, ob er dies will, doch dies läßt sich leicht
umgehen.
Betroffene Systeme
Systeme, auf denen folgende PDF Viewer installiert sind:
* Adobe Reader: für Windows alle Versionen bis zur aktuellen Version
9.3
* Adobe Acrobat: für Windows alle Versionen bis zur Version 9.3
* Foxit Reader: alle Versionen
Es sind vermutlich noch weitere PDF Viewer auf verschiedenen
Betriebsystemen betroffen. Nicht betroffen ist das Preview Programm auf
Mac OS X.
Abhilfe
Da es sich um eine Design Schwachstelle im PDF Format handelt, läßt
sich die Option zum Starten externer Programme nur deaktivieren. Dies
kann auf folgenden zwei Wegen erreicht werden:
1. in den Einstellungen von Adobe Reader: Einstellungen/Berechtigungen
-> "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet
werden" deaktivieren
2. Unternehmensweit per Windows Registry:
HKEY_CURRENT_USER\Software\Adobe\Acrobat
Reader\9.0\Originals\bAllowOpenFile auf "0" setzen. Sollte dieser
Registry Key nicht existieren, kann er einfach angelegt werden
(bitte beachten sie, den aktuellen Pfad gegebenenfalls an die
Version des installierten Readers anzupassen).
Hinweis
Generell empfiehlt CERT.at, wo möglich die "automatisches
Update"-Features von Software zu nutzen, parallel Firewall-Software
aktiv und den Virenschutz aktuell zu halten.
__________________________________________________________________
References
1. http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
2. http://www.foxitsoftware.com/pdf/reader/
3. http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-
ohne-konkrete-Sicherheitsluecke-968031.html
4. http://blog.didierstevens.com/2010/03/29/escape-from-pdf/
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.5 (Darwin)
iD8DBQFLs2bbLXqZes2uTbYRAh6PAJ9cvzBwc9oSxdVyRx6cZEgRXyxVLgCfUKzD
uGThV2cZzHnqVr4XzkOlnN4=
=oRR/
-----END PGP SIGNATURE-----
More information about the Warning
mailing list