Thema: Lücken in zahlreichen PDF-Anwendungen

[SiLæncer]

Im neuen Jahr sind der Adobe Reader und Adobe Acrobat weiterhin anfällig für Angriffe. Ein besonders raffinierter Angriff nutzt die als CVE-2009-4324 bekannte Lücke aus. Weder auf Anti-Viren-Software noch auf Adobe sollten sich Anwender derzeit verlassen.
Derzeit sollen besonders ausgefeilte Angriffe mit PDF-Dateien im Umlauf sein, berichtet das Internet Storm Center. Die PDF-Dateien nutzen eine bekannte Sicherheitslücke in Adobes PDF-Produkten Reader und Acrobat aus. Diese Angriffe kommen zusätzlich zu den ohnehin schon im Umlauf befindlichen schädlichen PDF-Dateien.

Der Angriff, der anscheinend rund um den Jahreswechsel in Umlauf gebracht wurde, soll verschiedene Stufen haben. Auf den ersten Blick sah der vom ISC analysierte Shellcode der ersten Stufe so aus, als sei er harmlos. Von der ersten Stufe aus wird die zweite Stufe gezündet. Diese öffnet die PDF-Datei direkt. In der PDF-Datei befinden sich gleich zwei schädliche Dateien.

Die erste Datei, suchost.exe, ist die eigentliche Schadsoftware. Die zweite Datei, temp.exe, hinterlässt auf dem Rechner eine harmlose PDF-Datei namens baby.pdf, um den Angriff nicht zu offensichtlich erscheinen zu lassen. Wenn der Angreifer nämlich die Angriffs-PDF-Datei öffnet, stürzt die PDF-Software ab und das Opfer könnte misstrauisch werden. Um das zu verhindern, öffnet temp.exe die harmlose Datei mit dem Namen baby.pdf - eine einfache leere Tabelle, die von einem Excel-Dokument erstellt wurde.

Das ist ein enormer Aufwand, um einen Rechner anzugreifen. Offensichtlich sind Angreifer auch bereit, die PDF-Angriffe den Opfern entsprechend anzupassen. Nutzer von Adobe Software sollten zumindest Javascript im Reader und bei Acrobat deaktivieren. Laut ISC nimmt die Anzahl der Angriffsvarianten derzeit zu, die die PDF-Sicherheitslücke ausnutzen.

Anti-Virus-Software und Adobe müssen hilflos zusehen

Eigenen Bekundungen zufolge will Adobe am 12. Januar 2010 das PDF-Sicherheitsproblem beheben. In der Zwischenzeit empfiehlt es sich, bei unerwarteten PDF-Dateien besonders vorsichtig zu sein. Laut dem ISC erkannten zum Jahreswechsel gerade einmal sechs von 40 Virenscannern den Angriff.

Der Rest würde ein PDF dieser Machart zunächst durchlassen. Die suchost.exe erkannte immerhin die Hälfte aller Virenscanner. Möglicherweise hat sich die Erkennungsrate in den letzten Tagen verbessert. Prinzipiell besteht aber auch die Möglichkeit, dass die Angriffslast in der PDF-Datei durch andere Lasten ausgetauscht wird. Letztendlich fungiert die PDF-Datei hier nur als sehr ausgefeilter Träger des eigentlichen Angriffs.

Wer ein verdächtiges PDF-Dokument öffnen oder grundsätzlich auf Nummer sicher gehen möchte, sollte auf einen alternativen PDF-Reader wechseln. Unter Windows gibt es mit Sumatra-PDF ein besonders schlankes PDF-Anzeigeprogramm, das allerdings nur Grundfunktionen bietet. Weitere Alternativen sind der PDF X-Change Reader und der Foxit Reader.

Quelle : www.golem.de

[SiLæncer]

Laut einer Meldung der Sicherheitsexperten von Secunia treten die Schwachstellen in allen aktuellen Versionen von Xpdf vor Version 3.02pl4 auf. Alle vier Sicherheitslücken erlauben einen Heap-basierten Integer Überlauf und sind auf Implementierungsfehler in verschiedenen Funktionen zurückzuführen. Durch die gezielte Manipulation eines PDF-Dokuments können Angreifer beliebigen Schadcode in ein betroffenes System einspeisen und zur Ausführung bringen. Die neuste Version 3.02pl4 beseitigt diesen Mangel. Einige Linux Distributionen, wie beispielsweise Fedora, liefern bereits einen Patch aus.

Quelle : www.tecchannel.de

[SiLæncer]

Online-Werbung kann Nutzer nicht nur informieren, sondern sorgt teilweise auch für die Verteilung von Malware. Die Sicherheitsfirma Trend Micro warnt nun vor einem manipulierten Ad-Server der Trojaner statt Werbung ausliefert.

Erneut scheinen Kriminelle einen Server gehackt zu haben, der für das Ausliefern von Online-Werbung zuständig ist. Wie Trend Micro in einem aktuellen Beitrag warnt, führen verschiedene Werbungen zu einer manipulierten Website. Um ihre Opfer mit der Malware zu infizieren, nutzen die Kriminellen ein PDF-Exploit um einen Trojaner zu verbreiten.

Das größte Problem an der Attacke ist, dass sie eine neue Verschlüsselungstechnik verwendet. Dadurch hebelt sie die normalen Schutzfunktionen aus, die verschiedene Tools bieten. Als Schutz gegen diese Attacke empfiehlt die Sicherheitsfirma ein Browser-Plugin, das den Zugriff auf bösartige Websites unterbindet.

Quelle : www.tecchannel.de

[SiLæncer]

Gar nicht gut: Der PDF-Sicherheitsspezialist Didier Stevens hat ein PDF-Dokument entwickelt, das – ohne eine konkrete Schwachstelle auszunutzen – einen PC infizieren könnte. Der Demo-Exploit funktioniert sowohl im Adobe Reader als auch in Foxit. Stevens macht sich dabei nach eigenen Angaben die Option "Launch Actions/Launch File" zunutze, die sogar im PDF eingebettete Skripte oder EXE-Dateien starten kann – diese Option ist Bestandteil der PDF-Spezifikation.

Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lässt sich der Dialog so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes. Beim Foxit-Reader kommt indes gar kein Warnhinweis. Der PDF-Reader Sumatra soll nicht verwundbar sein.

Stevens will sein PDF-Dokument mit eingebettetem Code nicht veröffentlichen, bis er eine Reaktion von den Herstellern hat. Bis dahin stellt er aber ein Dokument bereit, das zumindest die Eingabeaufforderung beim Öffnen des PDFs startet. Im Test der heise-Security-Redaktion fünktionierte dies unter Windows 7 mit den aktuellen Versionen des Adobe und Foxit Reader. Prinzipiell ließe sich auf diesem Wege auch ein FTP-Download starten, der einen Trojaner nachlädt und startet.

Das Abschalten von JavaScript im Reader bietet keinen Schutz. Laut Stevens hilfts es aber zumindest im Adobe Reader, das Starten neuer Prozesse zu verhindern. Dann funktioniert aber der Update-Check auch nicht mehr.

Siehe dazu auch:

    * Escape From PDF, Bericht von Didier Stevens
    * “Escape From Foxit Reader”, Bericht von Didier Stevens

Quelle : www.heise.de

[SiLæncer]

Nutzer von Adobe Reader und Acrobat müssen dafür eine Einstellung ändern. Sie verhindert das Ausführen von Nicht-PDF-Dateianlagen. Möglicherweise wird Adobe das Problem mit einem künftigen Sicherheitsupdate beheben.

Adobe hat einen Workaround für eine Lücke in den PDF-Spezifikationen veröffentlicht, die es ermöglicht, nach nur geringer Interaktion mit einem Nutzer in PDF-Dateien eingebetteten Schadcode auszuführen. Das Unternehmen rät Nutzern seiner PDF-Produkte Adobe Reader und Acrobat, eine Einstellung in den Anwendungen zu verändern, um die Folgen eines Angriffs einzugrenzen.

Nutzer können in den Einstellungen von Adobe Reader und Acrobat das Öffnen von Nicht-PDF-Dateianlagen in externen Anwendungen abwählen

Anwender sollen in den Voreinstellungen, die über das Menü "Bearbeiten" aufgerufen werden können, in der Kategorie "Berechtigungen" den Haken beim Eintrag "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" entfernen. Nach Auskunft der Adobe-Sprecherin Wiebke Lips wird dadurch verhindert, dass andere als PDF-Dateianlagen beim Öffnen einer PDF-Datei ausgeführt werden.

Administratoren können die Änderung auch über die Windows-Registrierungsdatenbank (Registry) vornehmen. Dazu müssen sie den Wert (DWORD) des Schlüssels " HKCU\Software\Adobe\Acrobat Reader\\Originals\bAllowOpenFile" auf "0" setzen.

Adobe sucht weiter nach Möglichkeiten, um die Auswirkungen des Fehlers abzuschwächen. Auch die Veröffentlichung eines Patches sei nicht ausgeschlossen, so das Unternehmen.

Für den ebenfalls betroffenen Foxit Reader steht ein Update bereit. Es sorgt dafür, dass eine Warnmeldung eingeblendet wird, sobald in PDF-Dateien eingebetteter Code ausgeführt werden soll. Hacker könnten mittels Social Engineering einen Anwender aber immer noch dazu bewegen, die Ausführung von Nicht-PDF-Dateianlagen zuzulassen.

Quelle : www.zdnet.de

[SiLæncer]

Adobe erwägt, auf einen möglichen Exploit des PDF-Standards mit einer Änderung seiner Produkte zu reagieren. Der Exploit ermöglicht das Ausführen von Schadcode auf dem Rechner des Opfers und funktioniert unabhängig von Schwachstellen in der Reader-Software.

Der Exploit wurde vor Kurzem von Sicherheitsforscher Didier Stevens entdeckt. Stevens bezeichnete seinen erfolgreichen Angriff als "kreatives Ausnutzen von PDF-Standards". Als Reaktion auf den Angriff veröffentlichte Adobes Konkurrent Foxit für seinen ebenfalls betroffenen Foxit Reader kürzlich einen Patch, der das Problem auf nicht näher spezifizierte Weise verhindern soll - es scheint allerdings, als habe man lediglich eine warnende Dialogbox hinzugefügt, die beim Ausführen des Schadcodes erscheint. Von Adobe dagegen hörte man zunächst nichts zu diesem Thema - bis zum gestrigen Mittwoch.

Nun erklärte Adobe, man erwäge Veränderungen der PDF-Reader-Software. Firmensprecher Steve Gottwals erklärte, man suche derzeit nach der besten Lösung für das bestehende Problem. Diese werde man dann mit einem der planmäßigen vierteljährlichen Updates verteilen.

Derweil gelang es dem Sicherheitsforscher Jeremy Conway, auf Stevens' Angriff aufzubauen, obwohl dieser den Quellcode seines Angriffs nicht komplett veröffentlicht hatte. Conway fand einen Weg, den Schadcode über sämtliche auf dem Rechner des Opfers abgelegten PDFs zu verbreiten. Darüberhinaus manipulierte er, wie es auch Stevens bereits beschrieb, die Warnmeldung des Adobe Reader, um den Benutzer zum Öffnen des Schadcodes zu ermutigen.

Quelle : www.gulli.com

[SiLæncer]

Wie nicht anders zu erwarten, nutzen Malware-Spammer die Möglichkeit EXE-Dateien aus PDF-Dokumenten heraus zu starten inzwischen aus. Das erste Beispiel macht bereits die Runde, weitere dürften bald folgen.

 Vor kaum zwei Wochen ist eine problematische Eigenschaft von PDF-Dateien bekannt geworden, die es (ohne eine Sicherheitslücke im PDF-Betrachter zu nutzen) ermöglicht eingebettete EXE-Dateien zu starten. Jetzt ist das erste Trojanische Pferd aufgetaucht, das diese Designschwäche in der PDF-Spezifikation ausnutzt, um den Rechner zu infizieren.

Der belgische Sicherheitsforscher Didier Stevens hatte diesen PDF-Angriff bekannter gemacht, ohne jedoch alle Details zu veröffentlichen. Offenbar genügten die Informationen jedoch, um die Angriffsmöglichkeit nachzuvollziehen und nutzbar zu machen. Der britische Antivirushersteller Sophos meldet nun die Entdeckung des ersten Schädlings, der auf diesem Wege eingeschleust werden soll.

Der Schädling kann zum Beispiel als PDF-Datei im Anhang einer Mail herein kommen. Wird diese Datei im Adobe Reader geöffnet, erscheint eine Dialogbox, die als Warnung gedacht ist. Der Programmierer des Schädlings hat jedoch die von Stevens angedeutete Möglichkeit genutzt, den angezeigten Hinweistext zu manipulieren. Dieser besagt nun (Tippfehler eingeschlossen), die Datei sei beschädigt. Um sie zu reparieren, möge man auf "Open" klicken. Folgt der Anwender diesem Hinweis, wird eine Datei ActiveX.exe im System32-Verzeichnis von Windows abgelegt und gestartet.

Bereits in der letzten Woche hatte Jeremy Conway demonstriert, dass die Designschwäche der PDF-Spezifikation die Erstellung eines Wurms ermöglicht, der vorhandene PDF-Dateien infizieren kann. Adobe will heute Sicherheits-Updates für Adobe Reader und Acrobat veröffentlichen.

Quelle : www.tecchannel.de

[SiLæncer]

Antivirenhersteller berichten  von weiteren Versuchen Krimineller, mit präparierten PDF-Dokumenten Windows-PCs mit Malware zu infizieren. Erst kürzlich waren Dokumente mit dem ZeuS-Bot verteilt worden, nun steckt ein Wurm drin.

Durch die Funktion "Launch Actions/Launch File" lassen sich in PDFs eingebettete Skripte oder EXE-Dateien starten. Der Adobe Reader fragt zwar beim Anwender nach, ob dieser dem Start der Datei zustimmt, allerdings lassen sich Teile des Warndialogs so gestalten, dass der Anwender keinen Verdacht schöpft, es geschehe gerade etwas Ungewolltes.

Aktuell berichtet unter anderem IBMs X-Force von Spam-Mails, die vorgeben, eine Anleitung zur Neukonfiguration des Mailkontos zu enthalten:"Setting for your mailbox are changed." Der Adobe Reader zeigt zwar eine Warnung beim Öffnen des beigefügten PDF-Dokumente an, allerdings dürften Anwender ihr Augenmerk nur auf den harmlosen Hinweis "Click the "open" button to view this document" richten und arglos "OK" klicken. Das führt jedoch dazu, dass das PDF ein VBScript ausführt, dass die Datei game.exe auf den Rechner schreibt und startet.

Die Datei enthält den Wurm Win32/Auraax. Auraax installiert auch noch ein Rootkit und versucht sich im Anschluss auf angeschlossene Speichermedien wie USB-Sticks zu schreiben. Zwar erkennen die meisten Antivirenprogramme den Schädling, Vorsorge ist aber besser als Nachsorge. Deshalb empfiehlt es sich im  Reader unter Bearbeiten/Voreinstellungen/Berechtigungen die Option "Nicht-PDF-Dateianlagen dürfen in externen Anwendungen geöffnet werden" zu deaktivieren – standardmäßig ist sie aktiviert. Grundsätzlich ist auch der Foxit-Reader für solche Angriffe anfällig. Der warnt zwar auch, eine Option zum Abschalten der Launch-Funktion gibt es aber nicht.

Adobe selbst stuft das Sicherheitsproblem aufgrund des Warndialoges im Reader nicht als kritisch ein. Nach Ansicht von Adobe handelt es sich nämlich eigentlich um eine nützliche Funktion, die nur durch den falschen Umgang zum Problem werde.

Quelle : www.heise.de

[SiLæncer]

"Microsoft, bitte baut einen einfachen PDF-Reader in Windows ein" – mit dieser ungewöhnlichen Bitte wendet sich der F-Secure-Mitarbeiter Sean Sullivan an den Windows-Hersteller. Ein einfacher Viewer wie in Mac OS X würde vollkommen ausreichen. Anlass des Ersuchens seien die ständig neuen Sicherheitslücken im Adobe Reader – oft aufgrund zusätzlicher Optionen, die man für das einfache Anschauen eines Dokuments gar nicht benötige, beispielsweise die /launch-Funktion, die Unterstützung von JavaScript und die Fähigkeit Audio- und Videodateien abzuspielen.

Ein PDF-Betrachter nach dem Standard PDF/A würde laut Sullivan vollkommen ausreichen. In PDF/A ist nämlich die Unterstützung der oben genannten Optionen explizit verboten. Sullivan spekuliert zwar darüber, dass eine Microsoft-Entwicklung wegen der Patentnutzung Lizenzzahlungen nach sich ziehen würde, allerdings ermöglichen Adobes Lizenzbedingungen für Entwickler seit längerem die kostenlose Nutzung der Patente.

Microsoft müsste den Viewer nach Sullivans Ansicht nicht einmal in Windows fest verankern, man könne ihn ja separat zum Herunterladen anbieten. Einen ähnlichen Weg ging Microsoft bereits mit Office, um Dokumente als PDF abzuspeichern. Das notwendige Add-in ließ sich von den Microsoft-Seiten nach Freigabe des PDF-Standards nachinstallieren.

Sullivans frommer Wunsch lässt jedoch außer Acht, dass auch abgespeckte PDF-Viewer Sicherheitslücken aufweisen. Insbesondere für das exemplarisch angeführte "PDF Preview" unter Mac OS X hat der Hacker und Pwn0wn-Gewinner Charlie Miller kürzlich angekündigt, nicht weniger als 20 Sicherheitslücken veröffentlichen zu wollen. Da auch alternative PDF-Viewer wie Foxit immer wieder Schwachstellen aufweisen, hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Jahr 2009 sogar darüber nachgedacht, ob es sinnvoll ist, einen eigenen, sicheren PDF-Viewer zu entwickeln.

Quelle : www.heise.de

[SiLæncer]

Die Sicherheits-Experten von F-Secure warnen vor Spam-Mails mit PDF-Anhang.

Mit einer neuen Spam-Welle gehen Internet-Kriminelle wieder auf Jagd. Dabei nutzen die Bösewichte nicht die 0-Day-Schwachstelle in Adobe Flash Player aus. Vielmehr versuchen sie laut F-Secure die PDF-Start-Funktion zu missbrauchen. F-Secure erkennt den Schadcode als Exploit.PDF-Dropper.Gen.

Während sich die Absender-Adresse wohl zufällig ergibt, scheint das PDF-Dokument immer gleich zu sein. Es heißt resume.pdf hat die MD5-Summe cff871a36828866de1f42574be016bb8. Dieser Umstand könnte sich aber ändern. Ist der Angriff erfolgreich, installiert der Schadcode eine Alureon/DNSChanger-Trojaner.

Quelle : www.tecchannel.de

[SiLæncer]

Adobe reagiert auf die nicht abreißende Welle immer neuer Attacken auf den Adobe Reader: Die kommende Version – wahrscheinlich Adobe Reader 10 genannt – wird eine Sandbox enthalten, die den Reader zu einem "weniger attraktiven Ziel für Angreifer" machen soll, erklärt Brad Arkin, der bei Adobe für die Sicherheit sämtlicher Software-Produkte verantwortlich zeichnet. Wann die offiziell "Adobe Reader Protected Mode" getaufte Technik konkret erscheinen wird, wollte Arkin allerdings nicht bekannt geben.

Wichtigste Funktion der standardmäßig aktiven Sandbox ist es, Schreibzugriffe aus dem Reader heraus auf das Windows-System zu unterbinden. Bislang konnten Angreifer nach erfolgreicher Übernahme des Readers – beispielsweise durch Buffer Overflows oder eingebettetes JavaScript – mit den gleichen Rechten auf dem System hantieren, wie sie auch der Reader hatte. Die Sandbox soll damit Schluss machen und Veränderungen an der Registry oder Dateien auf der Festplatte ebenso verhindern wie das Starten von Prozessen oder Zugriffe auf Named Pipes oder Named Shared Memory. Sämtliche PDF-Funktionen wie das Anzeigen von Bildern, 3D-Effekte, Ausführen von JavaScript oder Multimediainhalten, passieren in der Sandbox. Auch per Browser-Plug-in geöffnete PDFs laufen unabhängig von den Sicherheitseinstellungen des Browser im Reader-Prozess.

Der Broker Process entscheidet anhand festgelegter Regeln, welche Zugriffe der Adobe Reader auf das System bekommt.

Adobes Sandbox basiert technisch auf einer von Microsoft entwickelten Technik namens Microsoft Office Isolated Conversion Environment (MOICE), die bereits in Office 2010 zum Einsatz kommt. Ein sogenannter Broker Process verarbeitet sämtliche Schreibanfragen der Sandbox und entscheidet auf Basis von Regeln über deren Rechtmäßigkeit. Laut Adobe wurde der Programmcode des Broker Process und der Sandbox sehr schlank gehalten und unter anderem von externen Penetration-Testern geprüft. Bestätigt hat Arkin auch, dass Adobe darüber nachdenkt, durch die Sandbox auch Lesezugriffe abfangen zu lassen, um so das Auslesen von sensiblen Daten auf dem System zu unterbinden.

Doch selbst Adobe sieht die Sandbox nicht als Allheilmittel. So kann sie beispielsweise Attacken durch Phishing, Clickjacking, schwache Verschlüsselung in signierten Dokumenten oder nicht autorisierte Netzwerkzugriff nicht verhindern. Probleme kann es auch unter Windows XP und Windows Server 2003 geben, wenn der Anwender Hilfsmechanismen wie beispielsweise den Screenreader nutzt.

Der Hersteller verspricht, dass man etwa im Fall von Problemen den Protected Mode im Reader abschalten oder durch Registry-Einträge um neue Regeln erweitern kann. Administratoren in Unternehmen sollen dies bequem per Gruppenrichtlinie umsetzen können.

Quelle : www.heise.de

[SiLæncer]

Es gibt Dinge, die mittlerweile so alltäglich sind, dass kaum jemand Notiz davon nimmt. Diese Erfahrung musste auch Sicherheitsexperte Charlie Miller machen, der in seinem Black-Hat-Vortag vor rund einer Woche auf ein klaffendes Sicherheitsloch im Adobe Reader aufmerksam gemacht hat. Nach seinem Vortrag stellte Miller fest: "Adobes Sicherheit ist so schlecht, dass [...] nicht eine einzige Person es getwittert hat. Traurig."

Adobe hat die Lücke zwischenzeitlich bestätigt. Sie betrifft die aktuelle Version des Adobe Readers für Windows, Mac OS X und Unix und lässt sich dazu nutzen, beliebigen Schadcode in ein System einzuschleusen und auszuführen. Ob auch ältere Versionen verwundbar sind, ist nicht bekannt. Der Hersteller arbeite bereits an einem Patch und prüft, ob die von Miller veröffentlichten Informationen (PDF-Datei) über die Schwachstelle ein außerplanmäßiges Update rechtfertigen oder der Fehler erst am nächsten Patchday behoben werde. Bislang gibt es keine Anzeichen, dass die Lücke ausgenutzt wird.

Gegenüber heise Security äußerte Brad Arkin, bei Adobe verantwortlich für Produktsicherheit und Datenschutz, bereits im Mai dieses Jahres die Überlegung, den dreimonatigen Updatezyklus von Adobe Reader und Acrobat auf 30 Tage zu verkürzen. Auch an der Verteilung der Patches über andere Kanäle, etwa Microsoft Update, sei man interessiert.

Eine andere PDF-Lücke sorgt seit Kurzem dafür, dass man iPhone, iPod touch und iPad durch eine präparierte PDF-Datei vom App-Store-Zwang befreien (jailbreaken) kann, indem man die Seite JailbreakMe.com direkt auf dem Gerät öffnet. Laut F-Secure ist der Adobe Reader hiervon jedoch nicht betroffen. Den Foxit-Reader könne man durch diese Lücke hingegen zumindest zum Absturz bringen.

Quelle : www.heise.de

[SiLæncer]

Eines der wichtigsten Einfallstore für Angriffe sind PDF-Reader von Adobe. Didier Stevens erklärt in einem E-Book, wie solche gefährlichen PDF-Dokumente erkannt werden können. Ein normaler ASCII-Editor reicht dazu aus.
Auf gut 23 Seiten in englischer Sprache fasst Didier Stevens die wichtigsten Hinweise zusammen, die auf eine schädliche Datei im PDF-Format hinweisen. Er schaut sich dabei typische Methoden an, die Angreifer nutzen, um Schadcode in PDF-Dateien zu verstecken. PDF-Dateien sind mittlerweile ein wichtiges Werkzeug für Angreifer geworden, denn der Adobe Reader genießt eine hohe Verbreitung unter Nutzern, egal ob sie unter Windows, Mac OS X oder Linux arbeiten.

Verschiedene Werkzeuge helfen beim Analysieren von potenziell schädlichen PDF-Dateien. Das einfachste ist ein Hex-Editor. Das bedeutet allerdings viel Handarbeit und so führt Stevens den Leser an das Skript PDFiD heran, das den Scanprozess erleichtert. Das Python-Skript erkennt zum Beispiel, ob der PDF-Autor Flash oder Javascript in die Datei eingebunden hat. PDFiD kann PDF-Dateien auch entschärfen.

Stevens erklärt grob, wie das PDF-Format aufgebaut ist, damit gute Teile des Dokumentenbeschreibungsformats von schlechten Teilen unterschieden werden können. Zudem gibt er Tipps, wie eine Testumgebung für eine PDF-Datei aufgebaut werden sollte, schließlich soll die Datei nicht versehentlich ausgeführt werden. Besonders problematisch: Mit dem Adobe Reader werden in das System Komponenten installiert, die es möglicherweise erlauben, PDF-Dateien und den integrierten Schadcode auszuführen, ohne dass der Nutzer klicken muss. Einige dieser Dienste arbeiten mit Systemrechten.

Laut dem Internet Storm Center behandelt das E-Book nicht alle Angriffsmöglichkeiten. Vor allem das Tarnen des Schadcodes in dem Dokument wird nicht vollständig betrachtet. Stevens erklärt dennoch in verständlichen Beispielen viele Wege, wie ein PDF-Autor versucht, eine PDF-Datei möglichst harmlos wirken zu lassen. Schaut ein Nutzer zur Analyse in eine PDF-Datei in einem Editor und sieht solche Tarnmechanismen, wird die Datei erst recht verdächtig. Jeder, der an der Analyse von Schad-PDFs interessiert ist, findet in dem Dokument einen guten Anfang, um genau solche Hinweise zu entdecken.

Das E-Book befindet sich als gepackte PDF-Datei in Stevens Blog.

Quelle : www.golem.de

[SiLæncer]

Zwei Schwachstellen im freien PDF-Reader xpdf lassen sich einem Bericht  von Red Hat zufolge ausnutzen, um ein System via manipulierter PDF-Dokumente zu kompromittieren. Die Probleme beruhen auf einem nicht initialisierten Zeiger und einem Array-Index-Fehler.

Üblicherweise zieht ein Problem in xpdf einen ganzen Rattenschwanz weiterer verwundbarer Anwendungen nach sich, die auf dem xpdf-Code aufbauen, dazu gehören unter anderem poppler, CUPS, gpdf und KPDF. Red Hat macht allerdings keine konkreten Angaben zu betroffenen Versionen. Ob der Dokumentenbetrachter Evince, der auf poppler zurückgreift, ebenfalls betroffen ist, ist unbekannt.

Der Distributor hat aber für alle genannten Produkte aktualisierte Pakete zur Verfügung gestellt. Die poppler-Entwickler haben nach Angaben des Sicherheitsdienstleister die Lücken immerhin in ihrem Repository vor drei Wochen geschlossen. Bei den anderen Produkten ist der Status derzeit unklar. Sofern die Pakete anderer Distributoren betroffen sind, dürften diese bald mit Updates nachziehen.

Quelle : www.heise.de

[SiLæncer]

Die Entwicker von poppler haben die Fehler und weitere offenbar in der offiziellen Version 0.14.4 behoben.

Quelle : www.heise.de