Designfehler im PDF-Format gefährdet PC-Sicherheit
PDF-Dokumente mit fehlerhaften Dictionaries führen zum Absturz vieler PDF-Anwendungen. Unter Umständen soll auch das Einschleusen von Code möglich sein.
- Daniel Bachfeld
Die Initiatoren des Month of Apple Bugs schweifen mit ihrem sechsten Bug etwas ab: Durch einen Designfehler im PDF-Format können präparierte Dokumente zum Absturz einer PDF-Anwendung oder zur Infektion eines Systems mit Schädlingen führen. Laut Fehlerbericht hänge dies von der jeweiligen Anwendung und des Betriebssystems ab, auf dem sie läuft. Betroffen seien die Preview.app 3.0.8 (409) unter Apple Mac OS X, Adobe Acrobat Reader 5.0 bis 7.0 auf allen Plattformen sowie xpdf 3.0.1 (patch 2) und die darauf beruhenden Anwendungen gv, kpdf, poppler et cetera. Auch der mittlerweile populäre Foxit-Reader hat mit dem veröffentlichten Demo-PDF seine Probleme: Er stürzte im Test der heise-Security-Redaktion ohne Fehlermeldung ab. Weitere Anwendungen sind wahrscheinlich ebenfalls betroffen.
Die Ursache der Schwachstellen ist laut LKM, einem der Initiatoren des MOAB, in der Spezifikation des PDF-Formats in Version 1.3 zu finden. So sind im "Catalog Dictionary" die Objekte und Daten eines Dokumentes definiert und wie es gerendert werden soll. Die Spezifikation sehe aber laut LKM nicht vor, wie ein Dokument auf fehlerhafte Referenzen reagieren soll, im Gegenteil, es werde angenommen, dass die Referenzen immer richtig seien. Ein fehlerhafter Eintrag wird also in der Regel nicht abgefangen, die Folge sind Speicherverletzungen (Null Pointer Dereferences, Buffer Overflows und so weiter) und Memory Leaks, die zum Absturz führen oder sogar das Einschleusen und Ausführen von Code ermöglichen.
Als Workaround empfiehlt LKM, Browser-Plug-ins zu deaktivieren oder auf Adobe Acrobat Reader 8.0.0 zu wechseln. Dort soll der Fehler nicht mehr enthalten sein. Der Wechsel auf Adobes aktuelle Reader-Version ist spätestens seit Bekanntwerden der vier Lücken im Reader-Plug-in vergangene Woche wärmstens zu empfehlen. Weil der Hersteller die Lücken selbst für kritisch hält, hat er sogar Patches für die Version 7.x angekündigt, da einige Anwender nicht in der Lage seien, auf Version 8 umzustellen.
Zwischenzeitlich hat sich sogar herausgestellt, dass die XSS-Lücken im Plug-in noch viel mehr Potenzial zum Ausspionieren eines PC haben, als nur zum Cookie-Klau. Indem eine präparierte URL auf ein lokal abgelegtes PDF-Dokument verlinkt, läuft auch der an die URL angehängte JavaScript-Code lokal und hat so Zugriff auf lokale Ressourcen. Für einen erfolgreichen Angriff ist zwar die Kenntnis des Ortes eines abgelegten PDF-Dokumentes notwending, allerdings bringt Adobe Reader selbst schon ein Dokument im PDF-Format mit, dessen Pfad immer der gleiche ist.
Siehe dazu auch:
- Multiple Vendor PDF Document Catalog Handling Vulnerability, Fehlerbericht von MOAB
- Universal PDF XSS After Party, Fehlerbericht auf GNUCitizien
(dab)
