Dipl.-Inform. Carsten Eilers

Charlie Miller hat während eines Vortrags auf der Sicherheitskonferenz Black Hat am 29. Juli eine neue Schwachstelle im Adobe Reader vorgestellt - und kaum jemand fand das erwähnenswert. Oder wie Charlie Miller es auf Twitter formuliert hat:

"Adobe security is so bad that when I dropped a Reader 0-day in my talk today, not a single person tweeted it. Sad."

Da hat er recht. Beim Adobe Reader kommt es auf eine veröffentlichte Schwachstelle mehr oder weniger nicht mehr an. Anders sähe es aus, wenn mal ein Monat ohne neue Schwachstelle oder Angriffe verginge, das wäre sicher eine Meldung wert. Um die alten Witze nach dem Muster "Würden Architekten Häuser bauen, ..." aufzugreifen: Wäre der Adobe Reader ein Haus, hätte die Bauaufsicht es längst wegen akuter Einsturzgefahr zwangsweise abreißen lassen. Oder mal einen Stein dagegen geworfen, damit es von selbst einkracht.

Eine Schwachstelle ist doch fast keine Schwachstelle

Außerdem wurde die Schwachstelle von Charlie Miller veröffentlicht - dem Mann, der Schwachstellen prinzipiell nicht an die Hersteller meldet und sie stattdessen lieber sammelt, um z.B. auf der CanSecWest den Pwn2Own-Wettbewerb zu gewinnen. Wenn der auf einer Konferenz eine Schwachstelle vorführt, frage zumindest ich mich unwillkürlich "Und wie viele hat er noch auf Lager?". Außerdem werden im Adobe Reader doch regelmäßig 0-Day-Schwachstellen "in the wild" ausgenutzt. Eine einzige auf eine Konferenz vorgestellt und nicht mal aktiv ausgenutzte Schwachstelle ist da wirklich nicht weiter erwähnenswert. Da hätte Charlie Miller schon deutlich mehr ankündigen müssen.

Invasion der Patchdays

Und sagt es nicht auch viel aus, wenn ein Hersteller, der Patches erst ohne erkennbares Muster veröffentlicht und die Veröffentlichung dann ab dem 9. Juni 2009 auf quartalsweise Patchdays umgestellt hat, kaum ein Jahr später überlegt, die Patches monatlich zu veröffentlichen? Nichts gegen Adobes Bemühungen, den Reader sicherer zu machen, aber ob ein monatlicher Patchday das Problem löst? Auch die von Charlie Miller entdeckte Schwachstelle soll in der Woche ab dem 16. August behoben werden, was für eine bisher nicht ausgenutzte Schwachstelle eine durchaus brauchbare Reaktionsgeschwindigkeit ist.

Warum nicht das Übel an der Wurzel packen?

Aber wäre es nicht einfacher, diese eierlegende Wollmilchsau mit den zig kaum gebrauchten Funktionen sterben zu lassen und einen Reader zu entwickeln, der diesen Namen auch verdient? Einen, mit dem sich PDF-Dateien einfach anzeigen lassen, der ggf. Bookmarks unterstützt und notfalls auch die Möglichkeit, Formulare auszufüllen? Mehr braucht man doch kaum. Vor allem keine Unterstützung für Flash und JavaScript, das sind Text- und keine Multimedia-Dateien. Der Adobe Reader hat so viele Funktionen, dass allein schon ihre Masse dazu führt, dass es einfach immer wieder Schwachstellen geben muss.

Zum Glück gibt es ja Alternativen, für Mac OS X z.B. die enthaltene Vorschau, für Windows z.B. Sumatra oder den Foxit Reader. Auch darin werden immer mal wieder Schwachstellen gefunden, und in Apples Vorschau hat Charlie Miller sogar ziemlich viele gefunden, aber zum Glück macht sich niemand die Mühe, sie auszunutzen, solange es genug Opfer für Adobe-Reader-Exploits gibt. Hmmmh.... vielleicht ist es ja doch ganz gut, dass der Adobe Reader so löchrig ist? Schönen Gruss an St. Florian.

Und eine kleine Ironie am Rande: Diese natürlich über präparierte PDF-Dateien ausnutzbare Schwachstelle im Adobe Reader wird in Charlie Millers Paper zum Vortrag beschrieben. Auf den Seiten 51 bis 58 in dieser PDF-Datei. Eigentlich hätte er doch gleich noch einen Proof-of-Concept mit einbauen können, oder?

Carsten Eilers