PDF-Dateien als Einfallstore für Malware

19.09.2006
Über Standardfunktionen von Adobe Reader und Acrobat soll sich Schadcode auf PCs installieren lassen.

Sicherheitsexperte David Kierznowski hat Proof-of-Concept-Belege für den möglichen Missbrauch der weit verbreiteten Software Adobe Reader vorgelegt. Dabei soll nicht etwa der traditionelle Code-Fehler, sondern der Gebrauch legitimer Programmfunktionen als Schlupfloch für Malware dienen.

Nach aktuellen Ermittlungen eines Forschungsinstituts der US-Regierung sind Angriffe, bei denen Cross-Site-Scripting oder Web-orientierte Skriptsprachen zum Einsatz kommen, mittlerweile stärker verbreitet als die eher "traditionellen" Buffer-Overflows, die den Code von Desktop-Anwendungen betreffen. Wie Kierznowski in seiner Untersuchung beschreibt, sind PDF-Dokumente eine nahe liegende Zielscheibe, da sie Javascript unterstützen. Allerdings sei diese Erklärung nur teilweise zufrieden stellend, nicht zuletzt, weil Adobe sein eigenes Javascript-Modell unterstütze. Auch hätten Adobe Reader und Adobe Professional sehr verschiedene Restriktionen im Hinblick darauf, welche Javascript-Objekte zulässig sind.

Bei einer im Rahmen der Studie aufgeführten Test-Attacke wird ein bösartiger Link in ein PDF-Dokument eingebettet. "Ist das Dokument erst einmal geöffnet, wird der Browser des Nutzers automatisch hochgefahren und der Link geöffnet", so Kierzowski. Demzufolge sei das Starten beliebiger Malware möglich. Wird das Testdokument vom Desktop aus gestartet, erhält der Nutzer eine Warnung, bevor er den Link öffnet. Beim Start vom Web aus hingegen bleibt diese aus. "Sowohl Adobe 6 als auch 7 haben mich vor dem Start dieser URLs nicht gewarnt", schreibt der Sicherheitsforscher. Das Dokument funktioniert mit voll gepatchten Versionen des Adobe Reader unter Windows und Mac OS X. Andere PDF-Reader wie "Foxit" oder die "Vorschau" von Mac OS X sollen diesbezüglich nicht zu manipulieren sein.