Adobes PDF – kennen und nutzen wir alle seit Jahren, klar, daß es somit ins Fadenkreuz von Angreifern geriet. Neben den üblichen Sicherheitslücken in Betriebssystemen wie Windows und SQL-Datenbanken, ist es momentan das beliebteste Vehikel für Angriffe.

F-Secure hat sich die Mühe gemacht durch die Spezifikationen von Adobes PDF-Format zu lesen. 756 Seiten lang ist diese momentan und offenbart, daß PDF sicherheitstechnisch keine Zukunft haben sollte.

Funktionen die in PDFs möglich sind dermaßen überbordend, man kann ruhigen Gewissens von einem Moloch sprechen:

Allein die Multimediasektion wirkt wie die Leistungsbeschreibung einer Spielekonsole:

– jegliche Medientypen können eingebettet werden und daraus heraus aufgerufen werden!

– sie können darüber hinaus auch aus einem PDF heraus gesteuert werden (play/stop etc)

– sie können in darüber schwimmenden Fenstern genutzt werden aber auch in Regionen des Dokuments

– 3D-Objekte können zusammen JavaSkript eingebettet und aufgerufen werden

Die Formularfunktionalität ist gleichermaßen sinnfrei aufgebohrt:

– eingegebene Daten können direkt (also während der Eingabe) an einen Server gesandt und bspw. validiert werden

PDFs ist also alles potentiell erlaubt:

– Ausführen- und Öffnenfunktion, Sound- Filmabspielen, Importieren von Datenfeldern, Ausführen von Javascript

Es ist somit offenbar, daß PDFs in sicherheitsrelevanten Umgebungen nichts verloren haben. Für PDF-Angriffe sind nicht einmal wilde Exploits nötig, man kann einfach die Funtionen nutzen.

http://www.f-secure.com/weblog/archives/00001923.html

Wer mir nciht glauben mag, sollte einfach mal diesen Link in XP folgen – CMD.exe wird selbständig ohne Nachzufragen geöffnet.