Angaben über Benutzer- und Verzeichnisnamen einsehbar

Sicherheitslücke in IE gibt Information in PDFs preis

Alle mit dem Internet Explorer erzeugten PDF-Dateien erhalten Informationen über den aktuellen Speicherpfad. Damit lassen sich Informationen für weitere Angriffe gewinnen.

Laut einem Blog Eintrag von Secure Thoughts existiert die Schwachstelle in allen aktuellen Versionen des Microsoft Internet Explorer. Sie funktioniert wie folgt: Über die Druckfunktion (Strg-P) erstellt ein Benutzer aus einem HTML-Dokument (.HTM, .HTML, .MHT) eine PDF-Datei. Welches Werkzeug (Adobe PDF, CutePDF, etc) dazu verwendet wird, spielt keine Rolle. In dem erzeugten PDF-Dokument legt der Internet Explorer die Information ab, unter welchem Speicherpfad die Datei auf der lokalen Festplatte abgelegt wurde. Ein Beispiel:

C:\Users\vgw\Documents\MeinPDF.pdf

Wird dieses PDF im Internet veröffentlicht, lässt sich durch eine gezielte Suche, beispielsweise über Google mit der folgenden Suchabfrage nach Laufwerk C: lokalisieren. Eine Stichprobe bei Google ergibt 4 Millionen Treffer. Aus der im PDF-Dokument enthaltenen Information zum Speicherpfad lassen sich Angriffspunkte für weitere Attacken gewinnen - beispielsweise der Benutzername des Anwenders oder die lokal auf dem System verwendete Software, sollte diese aus der Speicherpfadangabe ersichtlich sein. Eine Anfrage bei Microsoft ergab, dass dieser Mangel in IE 9 behoben werden sein soll. Ein aktuelles Workaround sieht wie folgt aus: Wählen Sie "Datei -> Seite einrichten" und ersetzen Sie im Bereich "Fußzeile" den Wert von "URL" nach "-Leer-" - damit wird die sensitive Information nicht in das PDF-Dokument eingefügt. (vgw)