Schwachstelle in Acrobat seit zwei Jahren nicht behoben

In einem Posting auf Bugtraq lässt Vladimir Katalov, Geschäftsführer von Elcomsoft Ltd., seinen Ärger über nicht behobene Sicherheitslöcher in Acrobat und Acrobat Reader freien Lauf. Acrobat kann durch das Laden von Modulen um zusätzliche Funktionen erweitert werden. Die dabei verwendete Schnittstelle ist offen gelegt und jeder kann solche Module entwickeln. Allerdings müssen diese digital signiert sein, entweder von Adobe oder durch Signierschlüssel für Entwickler, um von Acrobat (Reader) geladen zu werden. Im Trusted Mode können sogar nur Module von Adobe selbst aufgerufen werden.

Die Implementierung der Abfrage von gültigen Signaturen ist jedoch fehlerhaft und lässt sich austricksen. Solche Module können dann beliebigen Code enthalten, lassen sich aber auch missbrauchen, um zum Beispiel den Kopierschutz von geschützten PDF-Dokumenten beziehungsweise eBooks zu entfernen. Die Schwachstelle wurde von Adobe bereits im März 2003 bestätigt und sollte in der neuen Versionen des Acrobat Reader behoben sein. Katalov weist aber daraufhin, dass dies nicht der Fall sei -- alle Versionen von Acrobat und Acrobat Reader enthalten die Fehler weiterhin.

Interessant an dem Posting ist auch, wer sich hier über Adobe beschwert. Bereits Anfang 2001 berichteten die Sicherheitsexperten von Elcomsoft in dem Buch "eBook Security: Theory and Practice" über die Fehler in Adobes Produkten, die es ermöglichten, den Schutz von so genannten eBooks auszuhebeln und entwickelten das kommerzielle Programm Advanced eBook Processor zum Beseitigen des Kopierschutzes. Kurz darauf wurde ein Angestellter von Elcomsoft, Dmitry Sklyarov, nach einer Präsentation in den USA auf der Defcon 9 vom FBI verhaftet, mit dem Vorwurf, gegen den Digital Millennium Copyright Act verstoßen zu haben. In der späteren Verhandlung vor einem Gericht befanden die Geschworenen den Angeklagten aber für unschuldig. (dab)