PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

t_om__h___ · 31. März 2010

PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

Gar nicht gut: Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Der Demo-Exploit funktioniert sowohl im Adobe Reader als auch in Foxit. Stevens macht sich dabei nach eigenen Angaben die Option "Launch Actions/Launch File" zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lässt sich der Dialog so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Beim Foxit-Reader kommt indes gar kein Warnhinweis. Der PDF-Reader Sumatra soll nicht verwundbar sein.

Stevens will sein PDF-Dokument mit eingebettetem Code nicht veröffentlichen, bis er eine Reaktion von den Herstellern hat. Bis dahin stellt er aber ein Dokument bereit, das zumindest die Eingabeaufforderung beim Öffnen des PDFs startet. Im Test der heise-Security-Redaktion funktionierte dies unter Windows 7 mit den aktuellen Versionen des Adobe und Foxit Reader. Prinzipiell ließe sich auf diesem Wege auch ein FTP-Download starten, der einen Trojaner nachlädt und startet.

Das Abschalten von JavaScript im Reader bietet keinen Schutz. Laut Stevens hilfts es aber zumindest im Adobe Reader, das Starten neuer Prozesse zu verhindern. Dann funktioniert aber der Update-Check auch nicht mehr.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle heise.de
Mehr Infos hier :
heise online - PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

t_om__h___ · 3. Apr. 2010

Foxit hat auf die Sicherheitslücke reagiert und ein Sicherheitsupdate bereitgestellt nur Adobe hat noch nichts mit einem Sicherheitsupdate reagiert.

Neue Foxit-Version schließt Executable-Sicherheitslücke

Foxit hat auf den vom PDF-Sicherheitsspezialisten Didier Stevens entwickelten Exploit reagiert und die Sicherheitslücke mit der neuen Version 3.2.1.0401 des Foxit Reader geschlossen. Der nur in einer Demo-Version veröffentlichte Exploit nutzt die in der PDF-Spezifikation beschriebene Fähigkeit von Readern, das Ausführen von Nicht-PDF-Code anzustoßen. In den bisherigen Versionen des Foxit Reader startete der Prozess gänzlich ohne Warnhinweis.

Adobe hat bisher noch nicht auf den Exploit reagiert. Zumindest gibt der Acrobat Reader aber eine Warnung aus. Zudem lässt sich als vorläufiger Schutz die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" deaktivieren.
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle heise.de
heise online - Neue Foxit-Version schließt Executable-Sicherheitslücke

John Locke · 4. Apr. 2010

Ich hab mir den Sumatra Reader mal auf meinen schwächlichen Laptop installiert. Das Ding ist echt klein, flott und erwartungsgemäß sehr einfach gehalten.

Hab von dem Programm erst durch diese News erfahren und als simples Anzeigeprogramm gefällt es mir wirklich gut. Dagegen ist der Foxit Reader schon ein dicker Brocken.

Protector · 4. Apr. 2010

Der Foxit Reader brauch eigentlich nich mal 3MB aufn Rechner, also von Schwergewicht kann nicht die Rede sein

John Locke · 5. Apr. 2010

Mach den Vergleichstest (Stichwort Schwuppdizität) der beiden Reader auf nem 500 MHz Rechner mit 128 MB RAM, dann spürst du, was ich meine

t_om__h___ · 7. Apr. 2010

Offizieller Workaround von Adobe für PDF-Lücke

Adobe hat den bereits vergangene Woche vorgeschlagenen Workaround für das Problem im Adobe Reader bestätigt. Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten – diese Option ist Bestandteil der PDF-Spezifikation. Prinzipiell lässt sich die Schwachstelle auch zur Verbreitung von PDF-Würmer ausnutzen, wie ein Video des Bloggers Jeremy Conway zeigt.

Der Hersteller empfiehlt unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert. Danach startet der Demo-Exploit beim Öffnen im Adobe Reader keine Eingabeaufforderung mehr. Auch Adobe Acrobat ist von dem Problem betroffen; dort hilft es ebenfalls, die Option zu deaktivieren.

Administratoren empfiehlt Adobe, auf den Systemen der Endnutzer folgenden Registry-Schlüssel zu erzeugen, um die Option abzuschalten:

HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\\Originals
Name: bAllowOpenFile
Type: REG_DWORD
Data: 0

Damit Anwender die Option nicht ungewollt wieder anschalten können, lässt sich diese auch ausgrauen:

HKEY_CURRENT_USER\Software\Adobe\Acrobat Reader\\Originals
Name: bSecureOpenFile
Type: REG_DWORD
Data: 1

Ob man das eigentliche Problem mit einem späteren Update löst, wird derzeit noch untersucht. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde. Immerhin warne der Adobe Reader ja, dass man Dateien nur aus vertrauenswürdigen Quellen starten solle, so Steve Gottwals, Produktmanager von Adobe in einem Blog-Eintrag.

Der Hersteller Foxit Software hat das Problem im Foxit Reader indes mit einem Update behoben. Dort war das Problem allerdings etwas kritischer, weil Foxit den Anwender nicht warnte und es keine Option gibt, um das Öffnen von Anhängen zu deaktivieren. In der neuen Version warnt Foxit nun vor dem Ausführen von Dateien.

Unterdessen wurde bekannt, dass die Möglichkeit, in PDFs eingebettete Skripte oder EXE-Dateien zu starten, als Schwachstelle bereits ein alter Hut ist. Foxit Software war über das Problem sogar schon seit über einem Jahr informiert. Der Dienstleister Core Security und der Sicherheitsspezialist Thierry Zoller hatten die Schwachstelle Anfang 2009 sogar unabhängig voneinander entdeckt und Demo-Exploits veröffentlicht.

Mehr Infos hier :
Core Security Technologies
Secdev - Thierry Zoller: Simple Remote code execution in PDF still riding..
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Quelle heise.de
heise Security - Offizieller Workaround von Adobe für PDF-Lücke

an-dy25 · 7. Apr. 2010

Adobe empfiehlt Workaround für Lücke in PDF-Spezifikation

Adobe hat einen Workaround für eine Lücke in den PDF-Spezifikationen veröffentlicht...
Klicke in dieses Feld, um es in vollständiger Größe anzuzeigen.

Weiterlesen: http://www.zdnet.de/news/wirtschaft_sicherheit_security_adobe_....htm

PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

t_omh_ Mitglied

t_omh_ Mitglied

John Locke Mitglied

Protector VIP Mitglied

John Locke Mitglied

t_omh_ Mitglied

an-dy25 Mitglied

Der Klingelton funktioniert nach dem Update auf Android 10.3.0 nicht richtig

MTP funktioniert nicht

Wiko Ridge 4G - Anruffunktion im Ausland funktioniert nicht richtig

Google Play Dienste installieren funktioniert nicht

Nokia N73 entsperren funktioniert nicht

Über uns

Wichtige Links

FAQ4MOBILES auf Facebook

Nützliche Suchen

PDF-Exploit funktioniert ohne konkrete Sicherheitslücke

t_om__h___ Mitglied

t_om__h___ Mitglied

John Locke Mitglied

Protector VIP Mitglied

John Locke Mitglied

t_om__h___ Mitglied

an-dy25 Mitglied

Der Klingelton funktioniert nach dem Update auf Android 10.3.0 nicht richtig

MTP funktioniert nicht

Wiko Ridge 4G - Anruffunktion im Ausland funktioniert nicht richtig

Google Play Dienste installieren funktioniert nicht

Nokia N73 entsperren funktioniert nicht

t_omh_ Mitglied

t_omh_ Mitglied

t_omh_ Mitglied