Alte PDF-Lücken gehören immer noch zum Angriffsarsenal gängiger Exploit-Baukästen. Neue Lücken sind in letzter Zeit nicht mehr so viele hinzu gekommen. Der Antivirushersteller McAfee hat nun eine Schwachstelle entdeckt, deren Potenzial zumindest als Datenleck einzuordnen ist. Schädlichen Code kann man darüber wohl nicht einschleusen.

Die Lücke steckt in der Art, wie Adobe Reader und Acrobat mit speziellen Aufrufen einer bestimmten Javascript-API (Programmierschnittstelle) umgehen. Der Aufruf kann einen UNC-Pfad enthalten, also die Adresse einer Netzwerk-Ressource. Normalerweise wird der Aufruf blockiert und ein Warnhinweis an den Benutzer fragt diesen, ob er den Zugriff erlauben möchte.

Übergibt der Aufruf einen weiteren Parameter mit einem bestimmten Wert, ändert sich das Verhalten der Anwendung. Existiert die Adresse, erscheint weiterhin der Warndialog. Existiert sie hingegen nicht, unterbleibt die Rückfrage. Die Datenpakete zum Aufruf der Ressource, die deren Existenz prüfen, sind jedoch bereits an den Server geschickt worden.

Der Ersteller oder Versender der PDF-Datei kann so feststellen, dass und wann die Zielperson die Datei geöffnet hat. Er kennt nun auch die IP-Adresse der Zielperson, kann deren Internet Provider und Standort ermitteln. Das ist für sich genommen undramatisch, kann jedoch initialer Bestandteil eines komplexeren Angriffsszenarios sein.

McAfee hat die Lücke an Adobe gemeldet und der Hersteller hat die Schwachstelle bestätigt. Adobe will sie am 14. Mai, im Rahmen eines ohnehin geplanten Update-Dienstags, beseitigen.