Offizieller Workaround von Adobe für PDF-Lücke
Adobe hat den bereits vergangene Woche vorgeschlagenen Workaround für die Lücke im Adobe Reader bestätigt. Unterdessen wurde bekannt, dass Foxit Software über die Lücke seit einem Jahr informiert war.
- Daniel Bachfeld
Adobe hat den bereits vergangene Woche vorgeschlagenen Workaround für das Problem im Adobe Reader bestätigt. Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten – diese Option ist Bestandteil der PDF-Spezifikation. Prinzipiell lässt sich die Schwachstelle auch zur Verbreitung von PDF-Würmer ausnutzen, wie ein Video des Bloggers Jeremy Conway zeigt.
Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr. Auch Adobe Acrobat ist von dem Problem betroffen; dort hilft es ebenfalls, die Option zu deaktivieren.
Administratoren empfiehlt Adobe, auf den Systemen der Endnutzer folgenden Registry-Schlüssel zu erzeugen, um die Option abzuschalten:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals
Name: bAllowOpenFile
Type: REG_DWORD
Data: 0
Damit Anwender die Option nicht ungewollt wieder anschalten können, lässt sich diese auch ausgrauen:
HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\9.0\Originals
Name: bSecureOpenFile
Type: REG_DWORD
Data: 1
Ob man das eigentliche Problem mit einem späteren Update löst, wird derzeit noch untersucht. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle, so Steve Gottwals, Produktmanager von Adobe in einem Blog-Eintrag.
Der Hersteller Foxit Software hat das Problem im Foxit Reader indes mit einem Update behoben. Dort war das Problem allerdings etwas kritischer, weil Foxit den Anwender nicht warnte und es keine Option gibt, um das Öffnen von Anhängen zu deaktivieren. In der neuen Version warnt Foxit nun vor dem Ausführen von Dateien.
Unterdessen wurde bekannt, dass die Möglichkeit, in PDFs eingebettete Skripte oder EXE-Dateien zu starten, als Schwachstelle bereits ein alter Hut ist. Foxit Software war über das Problem sogar schon seit über einem Jahr informiert. Der Dienstleister Core Security und der Sicherheitsspezialist Thierry Zoller hatten die Schwachstelle Anfang 2009 sogar unabhängig voneinander entdeckt (hier und hier) und Demo-Exploits veröffentlicht.
Siehe dazu auch:
- PDF-Exploit funktioniert ohne konkrete Sicherheitslücke
- Neue Foxit-Version schließt Executable-Sicherheitslücke
(dab)
