PDF-Exploit
Was ist PDF-Exploit?
PDF-ExploitManipuliertes PDF, das Parser-Bugs, eingebettetes JavaScript, Schriftarten oder externe Aktionen eines PDF-Readers ausnutzt, um Codeausführung oder Datenexfiltration zu erzielen.
Ein PDF-Exploit ist ein Angriff über ein manipuliertes PDF-Dokument, das eine der vielen Format-Funktionen missbraucht — eingebettetes JavaScript, OpenAction-Trigger, GoToE/GoToR-Remote-URLs, EMF/JBIG2/JPX-Bildparser, XFA-Formulare, U3D-3D-Streams oder Font-Handler — um einen PDF-Reader anzugreifen. Adobe Acrobat Reader war historisch häufig betroffen (CVE-2009-1492, CVE-2018-4990, CVE-2023-21608), aber auch Foxit, Chromes PDFium und macOS Preview hatten kritische Lücken. Moderne PDF-Exploits erreichen häufig Remote Code Execution per Speicherkorruption, leaken NTLM-Hashes über automatische URL-Abrufe oder lösen Drive-by-Downloads aus. Schutz: Patches, Deaktivierung von JavaScript, sandboxed Viewer und E-Mail-Gateway-Analyse.
● Beispiele
- 01
PDF mit eingebettetem JavaScript löst Heap-Überlauf im Adobe Reader aus (CVE-2018-4990).
- 02
NTLM-Leak-PDF mit GoToR-Action auf einen UNC-Pfad.
● Häufige Fragen
Was ist PDF-Exploit?
Manipuliertes PDF, das Parser-Bugs, eingebettetes JavaScript, Schriftarten oder externe Aktionen eines PDF-Readers ausnutzt, um Codeausführung oder Datenexfiltration zu erzielen. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet PDF-Exploit?
Manipuliertes PDF, das Parser-Bugs, eingebettetes JavaScript, Schriftarten oder externe Aktionen eines PDF-Readers ausnutzt, um Codeausführung oder Datenexfiltration zu erzielen.
Wie funktioniert PDF-Exploit?
Ein PDF-Exploit ist ein Angriff über ein manipuliertes PDF-Dokument, das eine der vielen Format-Funktionen missbraucht — eingebettetes JavaScript, OpenAction-Trigger, GoToE/GoToR-Remote-URLs, EMF/JBIG2/JPX-Bildparser, XFA-Formulare, U3D-3D-Streams oder Font-Handler — um einen PDF-Reader anzugreifen. Adobe Acrobat Reader war historisch häufig betroffen (CVE-2009-1492, CVE-2018-4990, CVE-2023-21608), aber auch Foxit, Chromes PDFium und macOS Preview hatten kritische Lücken. Moderne PDF-Exploits erreichen häufig Remote Code Execution per Speicherkorruption, leaken NTLM-Hashes über automatische URL-Abrufe oder lösen Drive-by-Downloads aus. Schutz: Patches, Deaktivierung von JavaScript, sandboxed Viewer und E-Mail-Gateway-Analyse.
Wie schützt man sich gegen PDF-Exploit?
Schutzmaßnahmen gegen PDF-Exploit kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für PDF-Exploit?
Übliche alternative Bezeichnungen: Bösartiges PDF, PDF-basierter Angriff.
● Verwandte Begriffe
- attacks№ 360
Drive-by-Download
Angriff, bei dem allein das Aufrufen einer kompromittierten oder bösartigen Website ausreicht, um auf dem Gerät des Opfers heimlich Schadsoftware zu installieren.
- attacks№ 195
Code-Injection
Schwachstellenklasse, bei der vom Angreifer gelieferte Daten von einer Anwendung als Code interpretiert und ausgeführt werden, was beliebige Ausführung im Kontext erlaubt.
- attacks№ 821
Phishing
Ein Social-Engineering-Angriff, bei dem sich der Angreifer als vertrauenswürdige Stelle ausgibt, um Opfer zur Preisgabe von Zugangsdaten, Geldüberweisungen oder zur Ausführung von Schadsoftware zu verleiten.
- appsec№ 129
Browser-Sandbox
Isolationsschicht auf Betriebssystemebene, die Renderer- und Hilfsprozesse des Browsers eingrenzt, sodass kompromittierter Webcode weder Dateisystem noch andere Anwendungen erreicht.
- vulnerabilities№ 667
Speicherkorruption
Sammelbegriff für Schwachstellen, bei denen ein Programm außerhalb der vorgesehenen Speichergrenzen schreibt und so Typsicherheit, Kontrollfluss oder Datenintegrität untergräbt.