Vorsicht bei unbekannten PDF-Dokumenten

(21.1.2010) PDF-Dateien sind durch die Integration von JavaScript zu einem potenziellen Sicherheitsrisiko geworden. Anwender sollten Acrobat entsprechend konfigurieren und bei Dokumenten unbekannter Herkunft misstrauisch sein, rät das IT-Profimagazin iX in seiner aktuellen Ausgabe 2/10, die am 21. Januar in den Handel kam.

Trifft ein böswillig manipuliertes PDF-Dokument auf einen Acrobat Reader, in dem die Sicherheitstore weit offen stehen, besteht akute Gefahr für das System des Anwenders. "Daher gilt grundsätzlich: Keine unbekannten PDFs beziehungsweise PDF-Dokumente von unbekannten Absendern öffnen, wenn nicht vorsorglich Einschränkungen in den Sicherheitskonfigurationen des Acrobat Readers vorgenommen wurden", empfiehlt iX-Chefredakteur Jürgen Seeger.

In der letzten Version hat Adobe Funktionen zur "Erweiterten Sicherheit" in Acrobat und im Reader integriert. Unter dem Menüpunkt "Voreinstellungen" können Anwender wesentliche Konfigurationen vornehmen, zum Beispiel, woher ein Dokument externe Daten nachladen darf. Alternativ empfiehlt die iX für das gelegentliche Anschauen von PDF-Dokumenten alternative PDF-Reader zu nutzen, da sie in der Betrachtungsfunktion vom Umfang durchaus vergleichbar sind.

Hintergrund: Seit Version 7 unterstützt Adobe die Integration von JavaScript. Dadurch wurde ein Einfallstor für Schadcode geschaffen, denn der Funktionsumfang von JavaScript im PDF ist enorm. So lassen sich der Standardaktion "Speichern" beliebige JavaScript-Aktionen zuordnen, auch solche, die Sicherheitslücken ausnutzen. Eine weitere Schwachstelle von Acrobat ist laut iX das Ergebnis der Verschmelzung von Flash und Acrobat durch die Übernahme von Macromedia durch Acrobat.  Sicherheitslücken im Flash Player betreffen oft auch Adobe Reader sowie Acrobat 9.x, da Flash-Komponenten dort im Lieferumfang enthalten sind. Zusammen mit der Tatsache, dass Acrobat laut Herstellerangaben auf über 93 Prozent aller Computersysteme weltweit installiert ist, haben Hacker beste Voraussetzungen. Von Januar bis April 2008 zählten die Sicherheitsspezialisten der Firma F-Secure 128, im gleichen Zeitraum ein Jahr später bereits 2300 verseuchte PDF-Dokumente.

siehe auch:

• iX - Magazin für professionelle Informationstechnik
• F-Secure
• Adobe Systems GmbH
• Acrobat.com

ausgewählte weitere Meldungen:

• Mit eVIT digitale Planungsordner erstellen (21.1.2010)
• Adobe erweitert Kommunikations-Plattform Acrobat.com (12.12.2009)
• s@fer Website: Projektraum conjectPM von TÜV Süd zertifiziert (2.11.2009)
• Adobe erweitert Kommunikations-Plattform Acrobat.com (24.8.2009)
• Gartner vergibt Top-Platzierung an Adobe Acrobat Connect Pro (23.8.2009)
• Linear project: Konzentration auf Linienbaustellen mit Tilos (15.6.2009)
• Mit MaViS Multiprojektmanagement auf einen Blick (15.6.2009)
• Präsentationen verteilt, online und redundanzfrei erstellen (13.6.2009)
• "Kleine Enzyklopädie der digitalen Langzeitarchivierung" erschienen (6.6.2009)
• Wege aus dem Abstimmungschaos bei Baubeteiligten (13.10.2008)

siehe zudem:

• Büro- und Management-Software für Planungsbüros (BMSP) • CAD/AEC-News im AEC-WEB
• BMSP- • Architektur-Software bei BAULINKS.de
• Literatur / Bücher zu den Themen Architektur-CAD, Baukosten, Projektmanagement bei Amazon.de
• Schreiben Sie Ihre Erfahrungen / Meinung dazu: AECWEB-Forum

zurück ...
drucken ...
Übersicht News ...