Adobe will Reader aus der Schusslinie bringen
Eine Sandbox soll viele der heute bekannten PDF-Angriffe abwehren, da sie unter anderem Schreibzugriffe blockiert. Gegen Phishing, Clickjacking & Co. schützt die Technik jedoch nicht.
- Uli Ries
- Jürgen Schmidt
Adobe reagiert auf die nicht abreißende Welle immer neuer Attacken auf den Adobe Reader: Die kommende Version – wahrscheinlich Adobe Reader 10 genannt – wird eine Sandbox enthalten, die den Reader zu einem "weniger attraktiven Ziel für Angreifer" machen soll, erklärt Brad Arkin, der bei Adobe für die Sicherheit sämtlicher Software-Produkte verantwortlich zeichnet. Wann die offiziell "Adobe Reader Protected Mode" getaufte Technik konkret erscheinen wird, wollte Arkin allerdings nicht bekannt geben.
Wichtigste Funktion der standardmäßig aktiven Sandbox ist es, Schreibzugriffe aus dem Reader heraus auf das Windows-System zu unterbinden. Bislang konnten Angreifer nach erfolgreicher Übernahme des Readers – beispielsweise durch Buffer Overflows oder eingebettetes JavaScript – mit den gleichen Rechten auf dem System hantieren, wie sie auch der Reader hatte. Die Sandbox soll damit Schluss machen und Veränderungen an der Registry oder Dateien auf der Festplatte ebenso verhindern wie das Starten von Prozessen oder Zugriffe auf Named Pipes oder Named Shared Memory. Sämtliche PDF-Funktionen wie das Anzeigen von Bildern, 3D-Effekte, Ausführen von JavaScript oder Multimediainhalten, passieren in der Sandbox. Auch per Browser-Plug-in geöffnete PDFs laufen unabhängig von den Sicherheitseinstellungen des Browser im Reader-Prozess.
Adobes Sandbox basiert technisch auf einer von Microsoft entwickelten Technik namens Microsoft Office Isolated Conversion Environment (MOICE), die bereits in Office 2010 zum Einsatz kommt. Ein sogenannter Broker Process verarbeitet sämtliche Schreibanfragen der Sandbox und entscheidet auf Basis von Regeln über deren Rechtmäßigkeit. Laut Adobe wurde der Programmcode des Broker Process und der Sandbox sehr schlank gehalten und unter anderem von externen Penetration-Testern geprüft. Bestätigt hat Arkin auch, dass Adobe darüber nachdenkt, durch die Sandbox auch Lesezugriffe abfangen zu lassen, um so das Auslesen von sensiblen Daten auf dem System zu unterbinden.
Doch selbst Adobe sieht die Sandbox nicht als Allheilmittel. So kann sie beispielsweise Attacken durch Phishing, Clickjacking, schwache Verschlüsselung in signierten Dokumenten oder nicht autorisierte Netzwerkzugriff nicht verhindern. Probleme kann es auch unter Windows XP und Windows Server 2003 geben, wenn der Anwender Hilfsmechanismen wie beispielsweise den Screenreader nutzt.
Der Hersteller verspricht, dass man etwa im Fall von Problemen den Protected Mode im Reader abschalten oder durch Registry-Einträge um neue Regeln erweitern kann. Administratoren in Unternehmen sollen dies bequem per Gruppenrichtlinie umsetzen können. (ju)
