Angeblicher Adobe-Reader-Exploit vermutlich ein Fake

Es mehren sich die Hinweise darauf, dass der vermeintliche Zero-Day-Exploit für den Adobe Reader XI gar nicht existiert. Bei genauerer Betrachtung des angeblichen Beweisvideos, das kürzlich bei YouTube aufgetaucht ist, fallen zwei Unstimmigkeiten auf.

So entspricht die Dateigröße des Proof of Concept (PoC) mit 138.068 Bytes exakt der Größe der ungefährlichen Originaldatei (PDF), die als Träger des Exploit-Codes gedient haben soll. Eigentlich würde man erwarten, dass sich durch das Hinzufügen des Exploit-Codes auch die Dateigröße ändert. Zwar gibt es Mittel und Wege, die ursprüngliche Größe zu erhalten, es ist jedoch eher unwahrscheinlich, dass der Ersteller des Videos diesen Aufwand für ein PoC betrieben hat.

Außerdem wird der Windows-Taschenrechner in dem Clip nicht als Tochterprozess des Adobe Reader gestartet, wie es bei einem Reader-Exploit üblich wäre, sondern als Unterprozess des Windows Explorer. Das könnte ein Indiz dafür sein, dass der Rechner nicht durch einen Exploit, sondern etwa über einen Hotkey gestartet wurde.

Das Video wurde von dem YouTube-Nutzer mrinj3ct0r hochgeladen, der anscheinend auch hinter dem im Clip gezeigten LinkedIn-Profil steckt. Das Profil gehört angeblich einem Sicherheitsexperten, der bereits längere Zeit bei namhaften Security-Firmen wie McAfee und ESET gearbeitet haben will. Wir haben bislang jedoch trotz intensiver Nachfragen niemanden gefunden, der uns bestätigen wollte, dass Babin tatsächlich dort gearbeitet hat. ESET erklärte gegenüber heise Security sogar ausdrücklich, dass man keine Informationen darüber habe, dass eine Person mit dem bei LinkedIn angegebenen Namen je bei ESET oder einem Partnerunternehmen gearbeitet hat.

Hinzu kommt, dass der Exploit bislang von keiner unabhängigen Instanz überprüft werden konnte. Alles in allem spricht vieles dafür, dass es sich bei dem angeblichen Zero-Day-Exploit nur um heiße Luft handelt. (rei)