F-Secure: "Microsoft, bitte einen einfachen PDF-Viewer"
F-Secure wünscht sich vom Software-Konzern einen einfachen PDF-Viewer ohne überbordende und unsichere Optionen wie beim Adobe Reader.
- Daniel Bachfeld
"Microsoft, bitte baut einen einfachen PDF-Reader in Windows ein" – mit dieser ungewöhnlichen Bitte wendet sich der F-Secure-Mitarbeiter Sean Sullivan an den Windows-Hersteller. Ein einfacher Viewer wie in Mac OS X würde vollkommen ausreichen. Anlass des Ersuchens seien die ständig neuen Sicherheitslücken im Adobe Reader – oft aufgrund zusätzlicher Optionen, die man für das einfache Anschauen eines Dokuments gar nicht benötige, beispielsweise die /launch-Funktion, die Unterstützung von JavaScript und die Fähigkeit Audio- und Videodateien abzuspielen.
Ein PDF-Betrachter nach dem Standard PDF/A würde laut Sullivan vollkommen ausreichen. In PDF/A ist nämlich die Unterstützung der oben genannten Optionen explizit verboten. Sullivan spekuliert zwar darüber, dass eine Microsoft-Entwicklung wegen der Patentnutzung Lizenzzahlungen nach sich ziehen würde, allerdings ermöglichen Adobes Lizenzbedingungen für Entwickler seit längerem die kostenlose Nutzung der Patente.
Microsoft müsste den Viewer nach Sullivans Ansicht nicht einmal in Windows fest verankern, man könne ihn ja separat zum Herunterladen anbieten. Einen ähnlichen Weg ging Microsoft bereits mit Office, um Dokumente als PDF abzuspeichern. Das notwendige Add-in ließ sich von den Microsoft-Seiten nach Freigabe des PDF-Standards nachinstallieren.
Sullivans frommer Wunsch lässt jedoch außer Acht, dass auch abgespeckte PDF-Viewer Sicherheitslücken aufweisen. Insbesondere für das exemplarisch angeführte "PDF Preview" unter Mac OS X hat der Hacker und Pwn0wn-Gewinner Charlie Miller kürzlich angekündigt, nicht weniger als 20 Sicherheitslücken veröffentlichen zu wollen. Da auch alternative PDF-Viewer wie Foxit immer wieder Schwachstellen aufweisen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2009 sogar darüber nachgedacht, ob es sinnvoll ist, einen eigenen, sicheren PDF-Viewer zu entwickeln.
Siehe dazu auch:
- BSI rät von Google Wave ab
- PDF-Dokumente verteilen Windows-Wurm
- Adobe führt automatisches Update für Reader ein
- PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
(dab)
