News

Virenscanner übersehen alte PDF-Exploits

Eine seit über einem Jahr bekannte Sicherheitslücke in PDF-Dokumenten kann offenbar so manchen Virenscanner aus dem Tritt bringen. Dass neue Viren, die gerade erst entdeckt wurden, dies tun, ist ja nicht verwunderlich und auch nicht ungewöhnlich. Dass der jetzt ins Rampenlicht gerückte Exploit allerdings bereits seit 2011 bekannt ist und dennoch von Virenscannern unentdeckt bleibt, überrascht dann schon etwas.

Überraschende Entdeckung

Bekannt wurde der Fall nun, da der Sicherheitsforscher Brandon Dixon eine präparierte Datei erzeugt hat, die genau dies tut. Der Exploit ist dabei nicht direkt in der PDF-Datei, sondern er versteckt sich in der XDP-Datei innerhalb des Dokumentes. Mittels dieser Datei kann so gut wie jeder moderne Virenscanner umgegangen werden. Das verwunderliche ist dabei, dass die Hersteller von Antivirussoftware sonst sofort auf Schwachstellen im Adobe Acrobat Reader reagieren.

Was ist XDP eigentlich?

XDP ist ein, dem XML ähnliches, Dateiformat, welches sämtlichen Text und Code eines PDFs in einem base64-kodierten Datenstrom enthält. Diese Datei kann man dann ganz normal mit dem Reader öffnen und lesen. Dixon spielte mit diesem Dateityp herum und schleuste einen Exploit ein, der nur von einem der über 42 Virenscanner auf Virustotal.com überhaupt erkannt wurde.

Nach dieser überraschenden Erkenntnis lies Dixon seiner Empörung in seinem Blog freien Lauf. Er meint, dass solche Sicherheitslücken längst hätten geschlossen sein müssen und dass er bereits im Frühjahr 2011 auf diese Lücke aufmerksam gemacht wurde. Wer auf Nummer sicher gehen will, sollte seinen Reader aktuell halten und vorerst einen Bogen um XDP-Dokumente machen.