Sicherheitslücke im Plugin des Adobe Reader 7

Im Browser-Plugin des Adobe Reader 7 befinden sich Sicherheitslücken mit besonders schwerwiegenden Folgen. Ein Angreifer kann ohne Zutun des Opfers JavaScript-Code im Kontext einer beliebigen Website, auf der irgendwo eine PDF-Datei existiert, ausführen und so beispielsweise in Cookies gespeicherte Login-Daten stehlen.

Klassische XSS-Attacken (Cross-Site Scripting) machen sich Sicherheitslücken einer bestimmten Website zunutze und wirken sich somit auch nur auf diese eine Website aus. Die im Browser-Plugin des Adobe Reader 7 entdeckte Sicherheitslücke stellt nun eine Art „Universal Cross-Site Scripting“ dar, weil sie nicht auf Sicherheitslücken einer einzelnen Website aufbaut, sondern nach Belieben auf nahezu jede Website angewandt werden kann.

Einzige Voraussetzung ist, dass auf dieser Website irgendwo eine PDF-Datei vorhanden ist. Klickt der Anwender auf einen entsprechend manipulierten Link zu einer PDF-Datei oder leitet man ihn automatisch dorthin weiter, startet das Browser-Plugin des Adobe Reader und führt beliebigen an die URL der PDF-Datei angehängten JavaScript-Code aus. Die Ausführung des JavaScript-Codes erfolgt im Kontext der Website, auf welcher sich die PDF-Datei befindet und kann somit auf die zu dieser Website gespeicherten Cookies zugreifen.

Die vor wenigen Wochen vorgestellte Version 8 des Adobe Readers ist nicht betroffen. Da der Adobe Reader jedoch auf praktisch jedem System installiert ist, Adobe das Problem bei Veröffentlichung des Adobe Reader 8 totgeschwiegen hat und somit nur wenige Anwender Adobe Reader 8 installiert haben dürften, ist das Schadpotenzial enorm. ComputerBase empfiehlt dringend, von Version 7 des Adobe Reader Abstand zu nehmen.

Vor einem Problem stehen jedoch die Anwender von Linux und Mac OS X, denn für diese Betriebssysteme ist weiterhin Adobe Reader 7 die neueste verfügbare Version. Jedoch sind beispielsweise für Linux mit Evince und KPDF gute Alternativen zum Darstellen von PDF-Dateien verfügbar.

Alternativ kann man seinen Browser anweisen, PDF-Dateien nicht mehr anhand des Browser-Plugins darzustellen, sondern auf die Festplatte herunterzuladen, woraufhin man die Datei dann manuell öffnet. Anwender von Mozilla Firefox wählen dazu in den Einstellungen des Browsers den Tab „Inhalt“. Dort klickt man im Abschnitt „Dateitypen“ auf den Button „Verwalten...“. In der nun erscheinenden Liste wählt man den PDF-Eintrag, wobei eventuell das Suchfeld behilflich sein kann, und klickt auf den Button „Aktion ändern...“. In dem folgenden Dialog wählt man den Eintrag „Dateien auf Diskette/Festplatte“ speichern.

Anwender von Opera finden eine entsprechende Möglichkeit im Abschnitt „Downloads“ des Tabs „Advanced“ der Browser-Einstellungen. Dort wählt man den MIME-Typ „application/pdf“, klickt auf den Bearbeiten-Button und wählt die Einstellung zum Speichern der Datei auf der Festplatte.