PDF Generator Sicherheitslücke oder nicht

[schlafmütze]

Hallo,

ich wollte fragen, bei ein paar von mir besuchten Internetseiten kann man sich PDFs generieren lassen, jetzt wenn man die *.pdf Datei in Adobe Reader öffnet oder foxit und man STRG+D drückt findet man viele Informationen zum PDF Generator, z.B.

Title: ./Output/DocumentName.pdf

Author: User: Windows NT/95/98 User

Creator: PDF/PReS://MCBSBILLOUTPUT//STDRGDRUCK_V120427.PDC

Producer: [ClibPDF Library 2.02-r1-2] Windows 9x/NT

mich würde interessieren, ob Ihr in dem verwendeten PDF Generator und den in dem PDF Dokument enthaltenen Daten Sicherheitslücken sieht, z.B. Output Pfad, Author und und und

ich könnte hier ein paar andere PDF Generatoren posten z.B. den von meiner Bank itextpdf.com in einer veralteten Version aber ohne vertrauliche Daten wenn man STRG+D drückt, wie angreifbar sind solche PDF Generatoren z.B. das man den PDF Generator Malware unterschiebt und alle anderen Bankkunden dann automatisch mit Malware infiziert?

Würde mich interessieren.

[_Markus]

wie angreifbar sind solche PDF Generatoren z.B. das man den PDF Generator Malware unterschiebt und alle anderen Bankkunden dann automatisch mit Malware infiziert?

Wenn eine Bank Software zum Download bereitstellt, sollten die Verantwortlichen dafür sorgen können, dass diese unverändert bleibt und auch so beim Kunden ankommt.

Davon abgesehen, liegt die Gefahr wohl weniger im PDF Generator selbst, sondern, beim Thema PDF bleibend, in einer angreifbaren Anzeige Software.

Kurze Google Suche, Stichwort "PDF Buffer Overflow", etwas älter aber gleiches Thema
http://www.heise.de/newsticker/meldu...df-123397.html

mich würde interessieren, ob Ihr in dem verwendeten PDF Generator und den in dem PDF Dokument enthaltenen Daten Sicherheitslücken sieht, z.B. Output Pfad, Author und und und

Title: ./Output/DocumentName.pdf

Author: User: Windows NT/95/98 User

Creator: PDF/PReS://MCBSBILLOUTPUT//STDRGDRUCK_V120427.PDC

Producer: [ClibPDF Library 2.02-r1-2] Windows 9x/NT

Diese Daten sind eher für Debug (Fehlersuche, etc) interessant, und sollten keine Geheimnisse preisgeben. Es kommt natürlich auf das
individuelle Sicherheitsgefühl an, ob man mögliche Pfadangaben "C:\TopSecret\Bla\Gedöhns\", Username, OS Version, Programmbiblitheken als
Geheim einstufen möchte.

http://www.heise.de/security/meldung...te-867670.html

Das findest du aber nicht nur am Beispiel von PDF, beispielsweise verbreiteten auch Office Dokumente vermeintliche persönliche Daten wie
- Autor, Firma, Kommentare, etc

http://office.microsoft.com/de-de/wo...005190102.aspx

[Shakademus]

Außer dass es für den ein oder anderen Schmunzler sorgen könnte, sind Informationen wie Autor oder Pfad völlig uninteressant.

Aus der verwendeten Software und deren Version lassen sich natürlich durchaus Sicherheitsprobleme ableiten. Am einfachsten lässt sich das mittels gängiger Datenbanken wie von SecurityFocus, Secunia, OSVD, NIST oder US-CERT prüfen.

Wenn ein potenzieller Angreifer die Daten, aus denen die Dokumente generiert werden, beeinflussen kann, kann es durchaus sein, dass er etwas reinstricken kann. Damit das ganze zu einem Angriff auf den Endanwender wird, ist dann natürlich, wie _Markus schon sagte, dessen Software(version) zur Darstellung entscheidend, aber es ist ja relativ einfach abzuschätzen / herauszufinden, was die Masse da verwendet.