Die digitalen Signaturen sollen Rechnungen und Regierungsdokumente vor Fälschungen schützen. Bochumer Forscher hebelten diesen Mechanismus aus, was kaum eine PDF-Anwendung bemerkte.
Forschern der Ruhr-Universität Bochum ist es gelungen, die Inhalte von signierten PDF-Dokumenten zu ändern, ohne die Signatur dabei ungültig werden zu lassen. Fast alle getesteten PDF-Anwendungen bemerkten die Manipulation nicht. Signierte PDF-Dateien werden von vielen Firmen für Rechnungen verwendet; manche Staaten wie Österreich oder die USA schützen damit auch Regierungsdokumente. Die Forscher vom Bochumer Horst-Görtz-Institut für IT-Sicherheit veröffentlichten ihre Ergebnisse am 25. Februar 2019 online.
Da die Schwachstelle fast alle gängigen PDF-Anwendungen und Online-Services betraf, meldeten die Forscher sie im Oktober 2018 an das Computer Emergency Response Team des Bundesamtes für Sicherheit in der Informationstechnik. Mit dessen Unterstützung halfen die Bochumer Forscher Dr. Vladislav Mladenov, Dr. Christian Mainka, Martin Grothe und Prof. Dr. Jörg Schwenk den Entwicklern der PDF-Anwendungen gemeinsam mit Karsten Meyer zu Selhausen von der Firma Hackmanit, die Sicherheitslücken zu schließen.
Aktuellste Version installieren
Listen aller analysierten PDF-Anwendungen und Online-Services finden sich auf der Webseite zum Angriff.
„Nutzerinnen und Nutzer von PDF-Readern können nachschauen, welche Version sie derzeit installiert haben, und diese mit unserer Liste im Internet vergleichen“, sagt Jörg Schwenk. Falls ein Nutzer die von der Sicherheitslücke betroffene Version (oder eine ältere Version) installiert hat, sollte er sich bei dem jeweiligen Software-Hersteller erkundigen, ob ein Update für die Software verfügbar ist, raten die Forscher.
Originalveröffentlichung der RUB News hier.
Pressekontakt
Dr. Vladislav Mladenov
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26742
E-Mail: vladislav.mladenov(at)rub.de
Dr. Christian Mainka
Lehrstuhl für Netz- und Datensicherheit
Horst-Görtz-Institut für IT-Sicherheit
Ruhr-Universität Bochum
Tel.: 0234 32 26796
E-Mail: christian.mainka(at)rub.de
Allgemeine Anfragen können auch über die E-Mail-Adresse team(at)pdf-insecurity.org gestellt werden.
Allgemeiner Hinweis: Mit einer möglichen Nennung von geschlechtszuweisenden Attributen implizieren wir alle, die sich diesem Geschlecht zugehörig fühlen, unabhängig vom biologischen Geschlecht.