Wie sicher ist eigentlich das Adobe PDF-Format und die Anzeigesoftware?

Sicherheit (Pexels, allgemeine Nutzung)Wie sicher ist denn das breit verwendete Adobe PDF-Format im Hinblick darauf, dass beim Betrachten keine Daten unbewusst an Dritte weiter gegeben werden? Und wie sicher sind die Programme zum Anzeigen von PDF-Dokumenten, gibt es doch immer wieder mal Sicherheitslücken? Nachfolgend einige Gedanken, um das Schwarmwissen der Community ggf. einzubinden.


Anzeige

Das Thema steht hier schon einige Tage auf der Agenda, denn das Adobe PDF-Format wird breit verwendet und Programme zur Anzeige von PDF-Dateien gibt es auch kostenlos. Aber hier im Blog berichte ich eigentlich regelmäßig über Sicherheitsupdates des Adobe Acrobat/Reader DC – und alternative PDF-Viewer sind auch immer mal wieder mit Schwachstellen aufgefallen. Zudem hat mit Patrick darauf hingewiesen, dass bei den PDF-Viewern durchaus auch Risiken in Punkto DSGVO-Verletzungen lauern können.

Ein Beispiel aus der Praxis

Blog-Leser Patrick hatte mich auf eine spezielle Problematik im Zusammenhang mit PDF-Dokumenten hingewiesen. Immer mehr Behörden gehen dazu über, Dokumente und Bekanntmachungen im Adobe PDF-Format bereitzustellen. Dazu schrieb mir Patrick:

Auf der Website der Stadt Filderstadt findet sich unter Satzung und Richtlinien das "Redaktionsstatut über die Herausgabe und den Inhalt
des Amtsblattes", das wohl mit Microsoft Word erstellt und als PDF-Datei auf der Website bereitgestellt wird.

Dazu merkte Patrick an, dass dieses Dokument bei der Anzeige auf einem Windows, auf dem kein Microsoft Office installiert ist, wegen fehlender Schriftarten nur schlecht lesbar ist. Er vermutet, dass die Office-Schriftarten, die mit Word verwendet werden können, nicht im PDF-Dokument eingebettet wurden. Auf Systemen, auf denen diese Schriftarten fehlen, scheitert dann wohl die korrekte Anzeige des PDF-Dokuments – ich kann es nicht testen, da hier ein Office installiert wurde. Offenbar wurden keine Schriften dynamisch nachgeladen (was schon mal gut ist). Dieser Fall wirft schon mal die Frage auf, wie universell und barrierefrei PDF-Dokument wirklich sind. Aber es gibt noch einen viel gewichtigeren Aspekt, den Patrick in einer Mail aufwarf:

Grundsätzlich problematisch bei der Bereitstellung von PDF-Dateien finde ich, dass nirgends die Formate und Funktionen (z. B. aktive Inhalte, Trackingfunktionen etc.) von den jeweiligen Anbietern beschrieben werden.

Er stellt darauf ab, dass im PDF-Format durchaus Trackingfunktionen verwendbar sind, um festzustellen, ob jemand geschützte Dokumente ansehen möchte und die entsprechende Berechtigung hat.

PDF-Viewer und die Sicherheit

Wenn ich mir hier im Blog so die Sicherheitsmeldungen rund um den Adobe Acrobat/Reader DC, den Foxit-Reader etc. anschaue, tauchen doch immer wieder Sicherheitslücken auf, die geschlossen werden. Hinzu kommt noch, dass in den Adobe PDF-Programmen JavaScript eingebettet werden kann, um aktive Inhalte bereitzustellen.

Adobe weist Administratoren und Benutzer darauf hin, dass JavaScript als Sicherheitsrisiko in PDF-Dateien gilt und gibt auch Hinweise, wie man bei Acrobat bzw. bei Reader die Sicherheitseinstellungen für JavaScript anpassen kann. Ich bin mir aber nicht sicher, wie viele Nutzer dies wirklich verwenden.

Das PDF-Format wird für Angriffe benutzt

Vor einiger Zeit gab es von eSentire eine Warnung, dass Cyber-Kriminelle Leute mit einem LinkedIn-Profil über Fake-Jobangebote per Spear-Phishing angreifen. Eine .LNK-Datei in einem Dokument (ZIP, Word, PDF) reicht ggf., um das Opfer mit einer Trojaner zu infizieren und den Rechner zu übernehmen. Obwohl der eSentire-Beitrag Fragen offen lässt (wurden auf Nachfragen von uns nicht beantwortet), führte uns die Diskussion zum PDF-Format (mit JavaScript) als Sicherheitsrisiko. Patrick schrieb mir, dazu:

Nachdem jetzt Firefox JavaScript für PDF-Dateien zumindest für Formulare teilweise integriert hat und die Folgen für die IT-Sicherheit wieder einmal gar nicht absehbar sind, verschärft sich hier die zwangsweise Verarbeitung von PDF-Dateien.

Mit dem Satz stellt er auf die obige Beobachtung ab, dass Behörden Bekanntmachungen im PDF-Format bereitstellen, die die Bürger zwingen, einen PDF-Viewer zur Anzeige zu öffnen. In diesem Zusammenhang wies er mich auf verschiedene Artikel im Internet zum Thema hin.


Anzeige

Dazu schrieb mir Patrick: Stell dir jetzt vor, dass ein Angreifer den LinkedIn-Lnk-Datei-Angriff nicht per Zip-Datei, sondern mit der Einbettung in eine PDF-Datei verbreiten könnte. PDF-Dokumente werden inzwischen doch breit per E-Mail als Telefon- oder Provider-Rechnung, bisher alle i.d.R. bis heute ohne digitale Signatur an die Kunden gesendet. Das zeigt bereits das Risiko von PDF-Dokumenten auf.

Kann ich PDF-Dateien datenschutzkonform öffnen?

An dieser Stelle greift Patrick einen weiteren Gedanken auf und stellt die Frage, ob es überhaupt möglich ist, die PDF-Dokument datenschutzkonform und sicher zu öffnen. Man kann beispielsweise unter Android die PDF-Dokumente im Google Viewer über Google Drive anzeigen. Dann muss man das Dokument in die Google Cloud übertragen, bekommt dort aber den Inhalt wohl risikofrei angezeigt.

PDF-Dokumente datenschutzkonform öffnen

In obigem Tweet wirft er die Frage auf, ob man PDF-Dokument mit Kunden-, Bank- und Gesundheitsdaten sicher und ohne Datenverlust auf einem Windows 10-Rechner öffnen kann. Dazu schreibt er in einem weiteren Tweet:

Android kann PDF via Google Drive verarbeiten – also in der Cloud. Der Browser Edge hat das Verarbeitungsverhalten wieder geändert, muss neu geklärt werden. Firefox / Tor Browser öffnen einstellungsabhängig unterschiedlich, Firefox 88 jetzt inkl. JavaScript.

Wird der PDF-Viewer im Edge-Browser zur Anzeige genutzt, ist offen, was da passiert. Gruppenrichtlinien, mit denen man den Edge datenschutzmäßig konfigurieren kann, greifen nur unter Windows 10 Enterprise  – und wohl auch nicht bei einer Domäneneinbindung. In vielen kleinen Firmen und bei Privatanwendern kommt aber genau diese Konstellation nicht zum Einsatz. Unter Windows 10 Pro erscheint im Edge die Meldung, dass die Gruppenrichtlinien nicht zur Anwendung kommen, weil die Einbindung in eine Domäne fehlt – hier hat Microsoft die Möglichkeiten für GPOs ja beschnitten.

Mir fehlt die Zeit, das zu testen. Aber die Frage steht schon im Raum, welche Informationen so beim Öffnen eines PDF-Dokuments durch die Viewer von Adobe, oder in Browsern wie Chrome, Edge, Firefox etc. ins Web übertragen werden.

Idee: PDFs in einer Sandbox öffnen

Angesichts der vielen Schwachstellen und Risiken geht mir die Frage im Kopf herum, ob man nicht dazu übergehen sollte, die Viewer zur Anzeige von PDF-Dokumenten nur noch in einer Sandbox zu öffnen. Diese könnte zumindest den Rechner gegen Angriffe aus PDF-Dokumenten heraus absichern. Neben der in Windows 10 Pro enthaltenen Sandbox (siehe mein Blog-Beitrag Windows 10 bekommt Sandbox für Anwendungen) ließe sich ja auch Sandboxie verwenden (siehe Sandboxie v0.5.5 / 5.46.4 freigegeben). Als Anzeige-Tool für die PDF-Dokumente könnte dann ein Tool wie der PDF-XChangeViewer als Portable-Versionen verwendet werden.

Wie seht ihr das ganze Thema so? Vielleicht ist dies ja ein Anknüpfpunkt für eigene Untersuchungen Falls wer Insight oder neue Erkenntnisse hat, was da beim PDF-Format datenschutzmäßig und sicherheitstechnisch abgeht, könnt ihr ja einen Kommentar hinterlassen.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit PDF, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

53 Antworten zu Wie sicher ist eigentlich das Adobe PDF-Format und die Anzeigesoftware?

  1. Beachman sagt:

    Naja, das erste Beispiel mit den fehlenden Schriftarten im Amtsblatt von Filderstadt kann man jetzt denke ich nicht dem PDF Format anlasten. Da hat eher der Ersteller geschlafen.

    Und ja, der Security Officer oder von mir aus der Datenschutzbeauftragte in den Firmen sollte darauf drängen, dass JavaScript im Adobe Reader deaktiviert wird. Ließchen Müller am heimischen Rechner wird das sicher nicht machen. Wäre besser, das wäre per Default deaktiviert und man müsste explizit erlauben. Aber da wären wir wieder beim Thema Bequemlichkeit oder Sicherheit.

    Grundsätzlich lauern überall irgendwelche Sicherheitsrisiken, nicht nur im PDF Format. Mit DOCX kann man genauso Schaden anrichten. Wer es sicher haben möchte, muss das Amtsblatt als TXT versenden. Aber wer will das?

    • Günter Born sagt:

      Danke für das Feedback! Im Grunde bestätigst Du genau die Gedanken, die ich mir mache und warum ich den Beitrag mal online gestellt habe.

      Zu: "Naja, das erste Beispiel …"

      A: Das PDF-Dokumentformat wird doch als Universalformat propagiert, was überall angezeigt werden kann. Das Beispiel zeigt, dass der Teufel im Detail liegt – und angesichts der weiten Verbreitung des PDF-Formats sind wir genau an dem Punkt "muss der Ersteller einen größeren Kurs machen, um das zu handhaben …". Immerhin werden offizielle Bekanntmachungen in diesem Format veröffentlicht. Da ist es mir zu arm, mit "der Ersteller hat geschlafen …" zu argumentieren und zur Tagesordnung überzugehen.

      Zu: "Und ja, der der Security Officer oder von mir aus der Datenschutzbeauftragte in den Firmen sollte darauf drängen, …" – ich gebe das mal schlicht an die Leserschaft weiter. Bei wem ist das genau passiert? Im Grunde sind wir wieder beim letzten Satz aus obiger Argumentation. Wenn mir selbst Behörden offizielle Verlautbarungen als PDF bereitstellen – von den Millionen digital nicht signierter PDF-Rechnungen ganz zu schweigen – weiß ich, dass das Thema "brennt". Da ist es mir auch zu kurz gedacht, über "Bequemlichkeit und Ließchen Müller zu sprechen" – das sollte zumindest diskutiert werden – imho.

      Und zum letzten Absatz: Plain Text wäre sicherlich ein großer Fortschritt – kann ich sicherheittechnisch unbedenklich ohne große Hilfsmittel öffnen.

      Bitte nicht falsch verstehen – ist kein Angriff auf dich. Aber die Sichtweise verdeutlicht mir eindeutig, dass das Thema in Deutschlands Amtsstuben und in der Wirtschaft noch nicht wirklich angekommen ist. Möglicherweise sehe ich das auch alles wieder zu kritisch …

      • M sagt:

        Die/ eine Lösung ist PDF/A-3.

        Ursprünglich für Archivierung gedacht, ist es ein Subset von PDF das sämtliche Problemstellen ausklammert: alle Schriften müssen eingebettet sein, kein Javascript, …

        Kaum macht mans richtig, funktionierts auch…

        • Adrain W. sagt:

          Das ist imho nicht ganz korrekt, hängt vom PDF/A-Standard ab.
          Der erwähnte A-3 erlaubt die Einbettung beliebiger Dateitypen, es ist ohne weiteres möglich, Originaldaten hinzuzufügen, so können auch alle Dateitypen als Anlagen mit eingebettet werden. Es ist auch möglich Container zu erstellen (welche die Original-Dateien enthalten).
          Des weiteren können z. B. auch E-Mails mitsamt den Anhängen in ein PDF/A-3 konvertiert werden, die Originalformate der Anhänge (Microsoft Office, Textdateien, Excel-Listen usw.) sind dann eingebettet in der PDF/A-3 Datei.

          Somit besteht imho auch hier entsprechendes Gefahrenpotential.

      • Zocker sagt:

        Definitiv ein sehr spannendes Thema. Hier stellt sich auch die Frage, welche(s) Anzeigeprogramm(e) am sichersten sind. Adobe Reader, der regelmäßig Updates bekommt, oder solche wie Sumatra PDF, wo auch mal über ein Jahr gar kein Update kommt, die aber nicht so komplex sind?

        Komplex ist ein weiteres Stichwort. Das Format wird zu komplex mit den Möglichkeiten und die Standardeinstellungen sind nicht sinnvoll.
        Javascript sollte bei der Erstellung standardmäßig deaktiviert sein und nur dann zum Einsatz kommen, wenn zwingend benötigt. Dazu wäre beispielsweise ein Hinweis zu möglichen Problemen hilfreich. Die Problematik muss auch beim Ersteller ankommen.
        Und wenn wir bei Behörden sind, diese müssen entsprechend geschult werden. Das ist deren Aufgabe und jeder Angestellte dort sollte entsprechend geschult werden. Es wäre arm, die Behörden von jeglicher Schuld freizusprechen. Sie tragen nämlich die Hauptschuld
        Im Reader selbst sollte Javaskript zumindest standardmäßig nur auf Bestätigung ausgeführt werden, so wie man das bei Office mit Makros einstellen kann. Auch hier jedes Mal ein entsprechender Hinweis auf die Gefahren.
        Schriftarten, die abseits des allgemeinen Standards sind, die (nahezu) jedes OS mitbringt, sollten zwangsweise integriert werden. Dann wird das Dokument halt ein paar KB größer. Wie bereits von Beachman erläutert ist das auch ein Versagen des Erstellers, nicht nur des Formats, das man jedoch sicher optimieren könnte. Der Ersteller muss sich mit seinem Arbeitswerkzeug auskennen. Wenn ich mein Auto in eine Werkstatt mit dieser Einstellung bringen würde, käme es kaputter zurück als ich es hingebracht hätte…

        Die Frage ist immer, was ist die Alternative? Beachman hat das schon richtig herauskristallisiert, es gibt praktisch keine. DOCX hat dieselbe Problematik, Bilddateien ebenso. TXT ist aufgrund der extrem bescheidenen inhaltlichen und layouttechnischen Möglichkeiten praktisch ausgeschlossen. Bliebe noch der Ausdruck auf Papier und Versand an jeden Haushalt. Dann stehen wiederum die Ökos auf der Matte.

        Mit ein paar Kniffen bei den Standardeinstellungen gepaart mit ein paar nützlichen Hinweisen würde sich schon viel erreichen lassen. Der Lösungsansatz ist primär beim Ersteller zu suchen, nicht beim Konsumenten. Denn wenn Ersterer das Problem erst gar nicht aufkommen lässt, müssen die Konsumenten, die von der Anzahl her idR ein Vielfaches darstellen, gar nicht erst reagieren.
        Ein Universalformat macht u.a. eine Vielfältigkeit an Möglichkeiten aus. Genau das bietet PDF. Es gilt nur, diese bewusst einzusetzen.

        • Patrick sagt:

          Bei Gesetzestexten, Rechnungen, Mitteilungen vom Finanzamt und vielen anderen Inhalten ist TXT ein vollkommen ausreichendes Format. Ich sehe keinen Grund, warum der Empfänger bzw. Adressat hier das erhebliche zusätzliche Risiko mit PDF, für das er die Verantwortung trägt, eingehen soll.
          EU-weit reicht für Rechnungen (XRechnung) das XML-Textformat auch aus und ist gesetzlich sogar verpflichtend für Behörden seit 2020 verankert.

          • Zocker sagt:

            Theoretisch stimme ich dir zwar zu, praktisch aber nicht. TXT ist wie erwähnt derart limitiert (sogar limitierter als die gute alte mechanische Schreibmaschine), dass man diese Einschränkungen nur teilweise und nur mit Aufwand umgehen kann. Es zählt nämlich nicht nur der Inhalt, sondern auch die Präsentation. Und selbst beim Inhalt hapert es, wenn Bilder oder Grafiken benötigt werden.
            Das Risiko mit PDF ließe sich minimieren, wenn die Ersteller auf gewisse Dinge achten und auch Adobe (und Dritthersteller) die von mir erwähnten Vorschläge umsetzen würde. Dennoch verstehe ich deinen Gedanken, dass der Adressat nie weiß, wie sicher das PDF ist. Ich denke jedoch, dass es bei jedem Format und Programm Risiken gibt. Man muss sie nur suchen und finden. Und das ergibt sich mit der Verbreitung eines Formats bzw. Programms.
            Internet und TXT sind zwei unterschiedliche Jahrtausende. Vielleicht wäre eine zusätzliche, abgespeckte Version des PDF-Formats mit einer neuen Dateiendung wie *.pdfx ein Kompromiss, den man langfristig als Standard etablieren könnte.

          • micha45 sagt:

            Man sollte grundsätzlich keine E-Mails von unbekannten Absendern automatisch annehmen und schon gar keine im Anhang beigefügten Dateien öffnen oder speichern.

            Bei uns auf der Arbeit werden eingehende E-Mails von unbekannten Absendern grundsätzlich erst einmal in den "Junk-Ordner" geschoben und dort automatisch auf Schadware gescannt.
            Ist alles sauber, werden die Absender in die Adressliste aufgenommen und die Anhänge dürfen verarbeitet werden.

            Die in die Adressliste aufgenommen Kontakte werden alle per Anschreiben aufgefordert, nur in verschlüsselte Archive (zip oder 7z) gepackte Dateien in den Anhang einzufügen.

            Auch Privatnutzer sollten so oder so ähnlich verfahren. Dann ist es im Grunde egal, von welchem Dateiformat die Dokumente sind.

  2. Michel Py sagt:

    Der Adobe Reader DC hat eine Sandbox (die leider ausschaltbar ist)

    Weil das automatische Update von Google Chrome und MS Edge Chromium besser und schneller funktionieren als bei Firefox und Adobe Reader, ist bei meinen Basic Users oft Edge oder Chrome der PDF Reader (gar kein Adobe Reader und Firefox mehr).

    Es ist aber total wahr das das PDF Format ziemlich alles enthalten kann. Das Bild Format TIF damals war auch zu flexibel.

    Wenn ich PDF oder Office Dokumente Analyse von SANS lese, verstehe ich gut warum solche Dokumente Zeitbomben sind.
    Machen Sie eine Suche mit PDF, DOC oder XLS bei https://isc.sans.edu/search.html
    wenn Sie Angst haben wollen ;-)

  3. Andreas K. sagt:

    Wenn man PDF zum Beispiel im Format PDF/A-1b (revisionssicher) erstellt, werden Schriften zumindest schon mal eingebettet. Das muß natürlich das Programm zum Erstellen oder der "Drucker" können.

  4. Bolko sagt:

    Die Schriftart ins PDF einzubinden könnte demnächst schwierig bis unmöglich werden, denn Microsoft will die Standardschriftart Calibri ersetzen durch eine Schriftart, die sich gar nicht mehr herunterladen lässt, sondern nur noch online über die MS-Cloud verfügbar ist.

    Dann ist auch die Verarbeitung der Dokumente mit LibreOffice oder Softmaker Office nicht mehr möglich.

    h**ps://www.heise.de/forum/heise-online/Kommentare/Byebye-Calibri-Microsoft-aendert-seine-Standard-Schriftart/forum-472222/

    Das ist eine neue Kundenbindungsmaßnahme.

    • Günter Born sagt:

      Ich hatte das mit der Schriftart bei Dr. Windows gesehen, bin aber nicht über die Wahrnehmung des Titels hinausgekommen, geschweige denn in die Details eingetaucht.

      Mit deinen Informationen machst Du natürlich ein Faß auf – denn das heißt zu Deutsch: Das ist wegen DSGVO im Business-Umfeld nicht mehr einsetzbar. Denn jeder, der das aktiv nutzt, müsste imho sicherstellen, dass er eine Datenverarbeitungsvereinbarung mit Microsoft abschließt, dass die Informationen, die dann über die Cloud nachgeladen werden, nicht für andere Zwecke verwendet werden. Ich habe hier einen kurzen Kommentar dazu hinterlassen.

      Von den Problemen der Weitergabe erst gar nicht zu sprechen. Jetzt sieht man wieder, auf welche schiefe Ebene die bewusst eingegangenen Abhängigkeiten von Microsoft Office & Co. die Nutzerschaft führen.

    • micha45 sagt:

      Ich weiß jetzt nicht, ob ich das alles falsch verstanden habe.

      Wie ich das sehe, soll sich doch nur die favorisierte Standard-Schriftart ändern.
      Diese Voreinstellung soll von Calibri auf eine der angebotenen Schriftarten, die bisher nur in der Cloud zur Verfügung stehen, geändert werden.
      Calibri verschwindet doch gar nicht und die voreingestellte Schriftart kann jederzeit wieder auf Calibri eingestellt werden.

      Das war doch genauso, als 2007? die Voreinstellung der Standardschriftart von Times New Roman auf Calibri geändert wurde.

      Warum sollte man deswegen "ein Fass aufmachen" wollen?

      • Zocker sagt:

        Wer stellt denn die Schriftart wieder zurück? Ich sag es dir: kaum jemand. Oder wer nutzt heute noch Times New Roman? Und damit ist die Abhängigkeit da.
        Und es würde mich nicht wundern, wenn die ab und an wieder zufällig durch ein Update wieder auf MS-Default zurückgesetzt wird.

    • Adrian W. sagt:

      Wer sagt denn, dass die Schriften nur noch online verfügbar sind?
      imho werden diese bei der ersten Verwendung heruntergeladen.

      Und selbst wenn es so sein sollte, was ich nicht annehme, würden dann wohl diese Schriften von den Usern nicht verwendet werden, da allenfalls Probleme mit der Schrifteinbettung in Dokumente bestehen.

      • Steter Tropfen sagt:

        User bringen alles fertig. Die meisten Leute kapieren überhaupt nicht, was schlecht daran sein soll, Ressourcen zu verwenden, die nur von einem fremden Online-Anbieter temporär zur Verfügung gestellt werden.
        Ich sage nur Google-Webfonts.
        Solange etwas auf dem eigenen Monitor gut aussieht, reicht das den Leuten. Wer macht sich denn die Mühe, Dinge durch die Augen anderer zu betrachten? Die allerwenigsten.

        Allerdings ist mir auch die Calibri noch nirgends abgegangen. Ich habe sie nicht installiert, weil sie weder schön noch sonst irgendwie nützlich ist. Keine Ahnung, wo und von wem die verwendet wird. Wenn ich was anzeige, sehe ich das eben in Arial. Die ist und bleibt die Allerweltsschrift, was auch immer die MS-Designer seitdem aushecken mögen.

      • Zocker sagt:

        Wird diese Schriftart jeder runterladen können oder nur Nutzer von bestimmten MS-Produkten?

        @Steter Tropfen
        Arial halte ich auch für eierlegende Wollmilchsau unter den Schriften. Damit macht man nichts falsch.

  5. nook sagt:

    GB: "…unter Android die PDF-Dokumente im Google Viewer über Google Drive anzeigen. Dann muss man das Dokument in die Google Cloud übertragen…"

    Merci für den Lacher am Morgen, wer hat denn bis dahin alles mitgelesen? Datenschutz: Android, Google, Google, Google ;-)

    Amtsblätter, Bekanntmachungen, Rechnungen, der ganze offiz. Kram sollten reine Information enthalten, ohne schnick schnack und scripts.
    Schwarze Buchstaben und Zahlen auf weißem Untergrund = .txt, sonst nix.

    Es ist eigentlich ein Witz den Inhalt eines Stück Papiers in eine Sandbox sperren zu müssen …

    • Patrick sagt:

      Für den Lacher am Morgen übernehme ich die Verantwortung. Und ja, ich verwende die Google-Dienste inkl. Drive. Auf meinen Systemen habe ich keine Möglichkeit zur Ansicht von Office- und PDF-Dateien (mehr). Die installierten Reader hatten im vergangenen Jahr so viele gravierende Sicherheitsmängel, dass ich mittlerweile lieber ganz darauf verzichte. (Übrigens: Google verwende ich persönlich/privat und vollkommen getrennt von anderen Systemen und lasse auch nur einen beschränkten Einblick in meine Privatsphäre zu.)

  6. Olli sagt:

    >>> Adobe weist Administratoren und Benutzer darauf hin, dass JavaScript als Sicherheitsrisiko in PDF-Dateien gilt und gibt auch Hinweise, wie man bei Acrobat bzw. bei Reader die Sicherheitseinstellungen für JavaScript anpassen kann. Ich bin mir aber nicht sicher, wie viele Nutzer dies wirklich verwenden.

    Warum sollen das wieder Milliarden Anwender selbst machen. Warum ist es nicht per Default deaktiviert und wer es braucht schaltet es halt an. Das ist das "kaputte" Denken der Hersteller! Und ja – eine der ersten Sachen die ich nach der Installation abschalte bzw. mittlerweile auch auf andere PDF-Hersteller ausweiche…

  7. Raphael Groner sagt:

    Auf der Black Hat 2020 wurde PDF eingehend auf Sicherheit geprüft. Heise hat berichtet.
    Portable Document Format (PDF) Security Analysis and Malware Threats (PDF)
    Black Hat 2020: Vom DoS bis zum Datenklau – Angriffe über PDF-Dokumente

  8. 1ST1 sagt:

    Wegen der vielen Sicherheitsupdates bei Adobe Reader und bei Foxit Reader bin ich schon vor langer Zeit auf SumatraPDF umgestiegen. Der ist im Vergleich zu den beiden anderen Readern winzig klein, nervt nicht, kam bisher mit jedem von mir geöffneten PDF zurecht, außerdem noch diverse inzwischen wieder mehr oder weniger tote ePub-Dateiformate und über Sicherheitslücken war bisher auch nur selten was zu lesen. Aktive Inhalte wie Scripting oder 3D-Obejkte unterstützt er scheinba nicht, was auch gut so ist. Der scheint auch unter dem Radar von Sicherheitsforschern und Hackern untendurch zu fliegen. Updates gibts scheinbar auch nur alle paar Schaltjahre und sind eigentlich immer nur Feature-Updates, keine Sicherheitsupdates. Im Prinzip ist SumatraPDF genau wie so ein Tool sein soll, auf das wesentliche beschränkt, winzig und schnell.

    • Bernd Bachmann sagt:

      Dito. Das Nicht-Unterstützen aktiver Elemente ist auch bei mir der Grund, warum ich Sumatra verwende. Adobe Reader ist nicht einmal installiert. Browser laufen zudem immer in Sandboxie. Ich denke (hoffe?), damit ein gewisses Sicherheitsniveau zu haben.

    • micha45 sagt:

      Ich verwende schon seit langem ausschließlich SumatraPDF (portable).

      Ich erstelle mir damit meine PDF-Dateien per PS-Script und nutze die von SumatraPDF zur Verfügung gestellten CMD-Parameter für die Einstellungen.

      Die zur Verfügung stehenden CMD-Parameter findet man in einer Übersicht auf der Webseite des Entwicklers und bieten so gut wie alles, was man für die Erstellung, für die Gestaltung und für das Ausdrucken von PDF-Dateien braucht.

      Funktioniert alles einwandfrei und sicher.

    • Chris sagt:

      @1ST1
      Super. Danke.
      Auch ich verwende fast nur Sumatra PDF.

      Daher war natürlich interessant, ob Sumatra ähnlich problematisch ist.

    • Mance sagt:

      Danke für den Tip. Habe den SumatraPDF jetzt auch mal installiert und werde ihn bis auf Weiteres verwenden. Adobe behalte ich mal noch, habe aber JavaScript deaktiviert falls ich ihn doch mal verwende.

    • Micha sagt:

      Ich verwende Sumatra PDF Reader auch schon seit Jahren. Damals war es auf meinem Intel Pentium 4 PC mit Windows XP (2,5GB RAM) die einzige Möglichkeit um den Conrad Business Katalog ohne Abstürze darzustellen. Es startet schnell. Es funktioniert auch die Volltextsuche bei PDF Dokumenten mit mehr als 1000 Seiten.

      Wenn ich mal etwas mit einem Dialogfeld ausfüllen muss nutze ich Google Chrome.

  9. Raphael Groner sagt:

    Irgendwo gab es mal Liste mit nahezu jegliche PDF-Readers auf welche Sicherheitslücken verwundbar. Diese Auflistung wurde wohl zurecht wieder aus öffentlich zugänglichen Quellen entfernt.

    • Günter Born sagt:

      Danke für die Hinweise in deinen Kommentaren. Daher habe ich ja mal den Artikel hier zur Diskussion eingestellt – in der Hoffnung, über Schwarmwissen möglichst viele Informationen zusammen zu führen. Es nutzt ja nichts, wenn Patrick und meine Wenigkeit das theoretisch im stillen Kämmerlin am Telefon oder per Mail diskutieren und den armen Herrn Kelber über Twitter auf anstupsen. Vielleicht lässt sich der Artikel hier samt den Kommentaren später als Steinbruch und Referenz für weiterführende Diskussionen erwenden. Zumindest lässt sich oben nachlesen, worum es überhaupt geht.

  10. No sagt:

    Für MS-Office-Dokumente gilt: Wenn ein Bild mit einem HTTP-Link eingebettet ist, wird dort sofort angefragt und damit die IP-Adresse verraten.

    Wie ist das bei PDF? Kann das jemand testen?

  11. Anonymous sagt:

    Seit dem ich weiß das man sogar Flash in PDFs einbetten kann sehe ich durchaus eine Sicherheitsbedrohung durch PDF Dateien. Ich habe auch immer wieder geblockte Zugriffe vom Acrobat Reader auf externe Quellen in der Management Konsole der Antiviren Software gesehen. Für mich stehen PDF-Dokumente eigentlich auf der gleichen Stufe wie Office Dokumente. Ich sehe daher auch Updates für den PDF-Reader als genauso wichtig wie für die Office Programme an. Mich wundert eigentlich schon lange das sich Niemand die Mühe macht Angriffe per PDF Dokument zu starten.

    Ich muss aber gestehen das ich privat PDFs auch mit dem Edge öffne und mir somit zumindest die Sicherheitslücke Adobe Software spare :D

    Ich war früher ein Fan vom PDF-Xchange Viewer von Tracker Software, ein Firmenname der mich schon immer zum Schmunzeln gebracht hat, aber der ist leider EOL und der neue Editor von denen gefällt mir einfach nicht. Fun Fact: Die Registryeinträge die der PDF-Xchange Editor in der Registry macht sind zusammen ca. ein halbes Megabyte groß.

  12. Adrian W. sagt:

    Was dabei wohl auch zu beachten ist und bisher nicht erwähnt wurde,
    Firefox hat in der 88er Version den Support für eingebettetes JavaScript in PDF integriert (und FTP entfernt), also ein Sicherheitsrisiko (FTP) entfernt und ein weitaus grösseres integriert!

    Ich kann nur raten "Javascript in PDF" in Firefox zu deaktivieren.

    • Bolko sagt:

      Wie genau schaltet mqn diese Funktion ab und wo findet man die?

      Meinst du about:config
      pdfjs.disable=true

      Ist das ausreichend oder muss man auch die anderen Optionen hinter pdfjs. abschalten?
      wie etwa disbalestream, autofetch, enableScriptong etc

    • 1ST1 sagt:

      Nur am Rande, ich halte das FTP-Protokoll nicht für ein Sicherheitsrisiko, solange man damit ohnehin nur Dateien von als anonymous zugänglichen öffentlichen FTP-Servern herunterlädt. Im Folge der FTP-Abschaltung in diversen Browsern habe ich eher Angst, dass nun diese wertvollen FTP-Server, auf denen man immer noch historisch gewachsen Unmengen an Zeugs für historische Computer findet, nun langsam verschwinden.

      Auch mancheiner, der nur wenig leistungsfähige Appliances – oder eben alte Computer – einsetzt, z.B. als Hobby, oder weil es für den Zweck nichts anderes (bezahlbares) gibt, bei denen die Rechenleistung für moderne Verschlüsselungsverfahren bei modernen Protokollen nicht reicht, der wird da auch sein Leid klagen. Beispiel: Ein Atari TT, mit 68030 bei 32 Mhz, braucht 15-30 Minuten um eine moderne vollständig HTTPS-verschlüsselte Seite darzustellen. Ok, ob man das unbedingt mit so einem Rechner machen muss, sei dahingestellt, aber es geht. Mit FTP kommt der TT dagegen ganz fix klar.

    • StefanP sagt:

      Adrian, kannst Du mir sagen, wo ich die Einstellung in Firefox finde?

    • kg sagt:

      Unterstützung für eingebettetes Javascript in PDFs deaktivieren (ab Firefox 88):
      Erweiterte Konfigurationseinstellungen mit about:config aufrufen und dann dort den Eintrag pdfjs.enableScripting = false setzen.

  13. Chris sagt:

    Wir haben besonders gefährdete Postfächer wie Bewerbungen etc. (zusätzlich zu den Scannern die der Provider bereitstellt) durch einen selbst erstellten Mailfilter abgesichert. Das Prinzip ist einfach: Alle Anhänge werden grundsätzlich durch ClamAV gescannt, PDFs werden zusätzlich in PS und wieder zurück in PDF gewandelt. Durch diesen Trick bekommt man alle aktives Inhalte weg, da PS so etwas nicht unterstützt.
    Stichworte hier: Fetchmail, Ghostscript, Postfix und Dovecot.

    • Patrick sagt:

      Zunehmend zwangsweise versenden Auftragnehmer Rechnungen per E-Mail ohne digitale Signatur, die man prüfen könnte, ausschließlich als PDF-Anhang. Diese müssen rein rechtlich unverändert archiviert werden. Aufgabe hier ist die zweifelsfreie Verifizierung des E-Mail-Eingangs vor dem Öffnen und dann muss man auch noch ganz sicher sein, dass der Rechnungsversender das PDF-Dokument technisch einwandfrei erstellt (Validierung!) und nicht zuvor unbemerkt einem Cyberangriff zum Opfer gefallen ist …
      Wer legt dafür seine Hand ins Feuer?

  14. Stephan sagt:

    Apropos Sandboxing: Unter Debian/Ubuntu ist der PDF-Reader schon seit vielen Jahren in AppArmor eingesperrt. Aus gutem Grund.

    Und wer nach Flash noch Software von Adobe installiert, ist selbst schuld.

  15. der name sagt:

    PDF nennt sich das, nicht Acrobat PDF.
    PDF ist seit spaetestens 2008 ein ISO Standard.

    > https://de.wikipedia.org/wiki/Portable_Document_Format

    PDFs ohne scripte und multimedia und anderen lustigen extensions zu lesen ist doch garnicht so schwer mit diversen auf fast allen plattformen zur verfuegung stehenden libraries und darauf aufbauenden viewern usw.

    vergesst adobe endlich mal.

  16. SvenS sagt:

    Meines Erachtens wäre hier der EuGH in Bezug auf die DSGVO Art. 25 zuständig bzw. erforderlich für jeden Software-Hersteller – hier nun z.B. Adobe.
    Bei der Installation des PDF-Readers wird doch erkannt, welche Sprache per default eingestellt wird. Da kann Adobe doch die Einstellungen entsprechend anpassen wie in EU verlangt (z.B. kein JS).
    (Ok, ein bißchen mehr Informationen werden noch abgefragt werden müssen.)

    Warum jetzt die Browser-Hersteller *pdf*.js auch noch einbinden – verstehe ich auch nicht.
    Die holen sich ja die nächsten Lücken automatisch rein!

    Nun soll doch endlich einmal die EU Ihre DSGVO gegenüber den Herstellern umsetzen oder ist das nur ein zahnloser Tiger oder richtet sich etwa alles "nur" gegen Cookies in der DSGVO! Das haben Sie ja nun hinbekommen!

    • SvenS sagt:

      Übrigens wäre Art. 32 DSGVO auch passend (für Verantwortliche und Hersteller)!

      • Patrick sagt:

        Dazu interessant ist auch Erwägungsgrund 78 der DSGVO mit den geeigneten technischen und organisatorischen Maßnahmen.

        Mit Blick auf die immer wiederkehrenden Cyberangriffe via PDF-Format und den tatsächlich damit übermittelten reinen Textdaten (Gesetze, Rechnungen etc.) müssen die Verantwortlichen aus meiner Sicht die Punkte "data protection by design" und "… "by default" auch bei der Auswahl der zu verwendenden Software berücksichtigen.

        "Mit einem reinen Texteditor wäre der Cyberangriff gar nicht möglich gewesen" steht im krassen Widerspruch zur Aussage in vielen Datenschutzerklärungen: "Der Schutz Ihrer Daten ist uns wichtig.".

Schreibe einen Kommentar zu kg Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.