Menü
Security

PDF-Dokumente als Angriffsvektor

Von
vorlesen Drucken Kommentare lesen 82 Beiträge

Dass PDF-Dokumente auch JavaScripte enthalten können, ist eigentlich ein alter Hut, schließlich unterstützen Adobe Reader und Adobe Acrobat dies zur besseren Nutzerinteraktion schon seit Version 4. Dennoch zeigen sich immer noch viele Anwender von der Dynamik so mancher PDF-Dateien beim Öffnen überrascht. Bislang galten nämlich hauptsächlich Office-Dokumente mit Makros als potenziell gefährlich. Gerade mit JavaScript lässt sich aber ebenfalls viel Schindluder treiben, wie der britische Sicherheitsspezialist David Kierznowski in seinem Blog feststellt.

Kierznowski erläutert darin zwei mögliche indirekte Angriffe auf Anwender mittels präparierter PDF-Dokumente. Dazu stellt er auch zwei Demo-Dokumente zum Download zur Verfügung. Das erste öffnet nach dem Laden ohne Zutun des Anwenders ein Fenster im präferierten Browser. Unter Umständen ließen sich Anwender so auf Webseiten leiten, die etwa eine Lücke im jeweiligen Browser ausnutzen, um weiteren Schadcode in das System zu schleusen und Trojaner zu installieren.

Kierznowski bietet noch ein weiteres Demo-Dokument an, das veranschaulichen soll, wie es in Acrobat per Adobe Database Connectivity ohne Nachfrage eine Verbindung zu einer Datenbank aufbaut und Daten abfragt. Zwar kratzen beide Beispiele nur die Oberfläche dessen an, welche Angriffe denkbar sind, sie demonstrieren aber das Potenzial. Kierznowski ist sich sicher, dass Adobes JavaScript-Version ausreichend Möglichkeiten bietet, um ein System zu kompromittieren. Ihm selbst fehle dafür aber die nötige Kreativität. Über den bekannten Sprachumfang von JavaScript 1.5 hinaus stellt Adobes JavaScript-Derivat weitere Möglichkeiten und Funktionen zur Verfügung.

Anwender sollten überdenken, ob sie in Zukunft PDF-Dateien noch so sorglos wie früher öffnen sollten. Allerdings ist Abhilfe schon zur Stelle: Unter Bearbeiten/Grundeinstellungen lässt sich JavaScript einfach deaktivieren. Leider belästigen Adobe Reader und Acrobat den Anwender beim Öffnen der Demo-Dokumente dennoch weiterhin mit Fragen, ob JavaScript ausgeführt oder eine externe Webseite geöffnet werden soll. Zumindest als Alternative für den Adobe Reader bietet sich der schnelle und schlanke Foxit-Reader an. Der unterstützt zwar ab Version 2.0 ebenfalls JavaScript, allerdings muss dazu ein Plug-in explizit nachgeladen und installiert werden.

JavaScript in Adobe-Produkten führte bereits in der Vergangenheit zu Sicherheitsproblemen. So ließen sich etwa in den Plug-ins-Ordner weitere schädliche Plug-ins schleusen und beim nächsten Start laden. In der Mac-Version des Reader und Acrobat ließen sich per Skript sogar weitere Programme aufrufen.

Siehe dazu auch: (dab)