Laut einem Blog Eintrag von Secure Thoughts existiert die Schwachstelle in allen aktuellen Versionen des Microsoft Internet Explorer. Sie funktioniert wie folgt: Über die Druckfunktion (Strg-P) erstellt ein Benutzer aus einem HTML-Dokument (.HTM, .HTML, .MHT) eine PDF-Datei. Welches Werkzeug (Adobe PDF, CutePDF, etc) dazu verwendet wird, spielt keine Rolle. In dem erzeugten PDF-Dokument legt der Internet Explorer die Information ab, unter welchem Speicherpfad die Datei auf der lokalen Festplatte abgelegt wurde. Ein Beispiel:
C:\Users\vgw\Documents\MeinPDF.pdf
Wird dieses PDF im Internet veröffentlicht, lässt sich durch eine gezielte Suche, beispielsweise über Google mit der folgenden Suchabfrage nach Laufwerk C: lokalisieren. Eine Stichprobe bei Google ergibt 4 Millionen Treffer. Aus der im PDF-Dokument enthaltenen Information zum Speicherpfad lassen sich Angriffspunkte für weitere Attacken gewinnen - beispielsweise der Benutzername des Anwenders oder die lokal auf dem System verwendete Software, sollte diese aus der Speicherpfadangabe ersichtlich sein. Eine Anfrage bei Microsoft ergab, dass dieser Mangel in IE 9 behoben werden sein soll. Ein aktuelles Workaround sieht wie folgt aus: Wählen Sie "Datei -> Seite einrichten" und ersetzen Sie im Bereich "Fußzeile" den Wert von "URL" nach "-Leer-" - damit wird die sensitive Information nicht in das PDF-Dokument eingefügt. (vgw)