Sicherheitslücken in PDF
Das eine PDF-Datei mehr enthalten kann als nur Buchstaben und Bilder ist sicher einigen bekannt, als pdfTeXniker nutze ich gern Funktionen wie Javescript oder die Möglichkeiten zur Einbettung von Dateien im PDF Container. Vor ein paar Wochen hat Heise über eine Sicherheitslücke berichtet, die aus PDF Dateien andere ausführbare Dateien aufruft: http://www.heise.de/security/meldung/PDF-Exploit-funktioniert-ohne-konkrete-Sicherheitsluecke-968031.html. Im Forum zu diesem Artikel gab es das folgende Minimalbeispiel (in eine Datei packen und mit der Endung .PDF abspeichern):
%PDF-1.1 1 0 obj << /Pages 8 0 R /OpenAction 8 0 R >> endobj 8 0 obj << /S /Launch /Win << /F (cmd.exe) >> >> endobj trailer << /Root 1 0 R >> %%EOF
Meines Erachtens ist die Lücke gefixt, im Adobe Reader 9.3.2 kommt zumindest eine Nachfrage, ob man die Datei starten möchte.