16. April 2010
Im Laufe der Woche mehrten sich die Hinweise verschiedener Sicherheitsanbieter, dass eine vor kurzem beschriebene Angriffstechnik bei PDF-Dateien nunmehr von Malware aktiv ausgenutzt und auch bereits abgewandelt wird: Dabei bedienen sich die Angreifer der Möglichkeit, andere Inhalte in PDFs einzubetten – in diesem Fall ein (teils als PDF getarntes) Windows-Programm. Der Anwender muss zwar dem Start dieser Datei zustimmen, der entsprechende Warnhinweis kann aber vom Angreifer mit einem "verführerischen" Text ergänzt werden. In aktuellen Malware-Dateien suggeriert der Text, dass es sich um eine Reparaturfunktion für das beschädigt übermittelte PDF selbst handelt (vgl. SOPHOS-Blog) oder erweckt den Anschein, man würde nurmehr ein weiteres PDF öffnen (vgl. Websense Alert). Lässt man die Ausführung zu, wird ein Trojanisches Pferd auf dem PC installiert.
Das zugrunde liegende Problem ist dabei keine akute Schwachstelle in der Darstellungssoftware, sondern basiert auf der Umsetzung der per Spezifikation vorgesehen Möglichkeit, eingebettete Dateien mit externen Programmen zu starten. Neben dem Adobe Reader ist daher (zumindest) auch der alternative Foxit Reader von dem Problem betroffen (ältere Versionen starteten die eingebetteten Dateien sogar ohne Rückfrage). Wer die bewusste Funktion nicht benötigt, sollte seiner Darstellungssoftware das Öffnen von "Nicht-PDF-Dateianlagen" in externen Anwendungen verbieten (siehe Anleitung von Adobe).