Sicherheitslücke in Adobes Reader und Acrobat geschlossen

16.06.2005

Durch die fehlerhafte Verarbeitung von JavaScript in Version 7 kann eine PDF-Datei die Existenz von Dateien prüfen. Ein Update ist bereits verfügbar.

In PDF Dateien kann JavaScript Code eingebettet sein, der üblicherweise Werte für Formulare berechnet uvm. Per JavaScript kann man aber auch einfach weiteren XML-Code für das PDF erzeugen und auf diesem Weg kann ein Angreifer prüfen, ob eine Datei, deren Pfad und Namen der Angreifer kennen muss, auf dem PC vorhanden ist. So kann man z.B. prüfen, ob bestimmte Software installiert ist. Die Inhalte von Dateien können aber nicht ausgelesen werden.


Wer die Lücke in den Versionen 7 des Adobe Acrobat und Adobe Readers schließen möchte, kann dies durch ein Update auf Version 7.0.2 tun. Leider müssen Nutzer von MacOS auf dieses Update noch ein wenig warten. Möglicherweise sind aber auch Windows-Nutzer mit Adobes Workaround für Mac-User besser beraten: Deaktivieren Sie JavaScript im Adobe Reader.


Weitere Informationen:

Adobe: XML External Entity vulnerability (Adobe Reader and Acrobat 7.0-7.0.1) (engl.)

Adobe Download Version 7.0.2