Springe zum Hauptinhalt

2009-06: Filtern Sie PDFs an der Firewall? Nein? Sollten Sie aber!

En­de Fe­bru­ar wur­de ein Ze­ro­-­Day Ex­ploit für Ad­o­be Rea­der ver­öf­fent­licht, we­ni­ge Ta­ge spä­ter ei­ne kri­ti­sche Schwach­stel­le in Ex­cel. Bei dem Ad­o­be­-­Ex­ploit war der emp­foh­le­ne Work­-­a­roun­d, Ja­va­S­cript zu de­ak­ti­vie­ren, dann kön­ne nichts mehr pas­sie­ren.

Kurz da­nach zeigt sich, dass die Ad­o­be­-­Rea­der­-­Lü­cke auch aus­nutz­bar ist, wenn Ja­va­S­cript de­ak­ti­viert ist. Der Patch – bes­ser ge­sagt das Up­da­te­-­Un­ge­tüm – für Ver­si­on 10 er­schien dann am 11. März, für äl­te­re Ver­si­o­nen gar erst am 18. März – sprich fast vier Wo­chen nach der Mel­dung des Ex­ploits. Ei­ne Men­ge Zeit ...

Der Si­cher­heits­an­bie­ter F-­Se­cu­re geht so weit, vom Ein­satz des Acro­bat Rea­ders der­zeit gänz­lich ab­zu­ra­ten. Er be­rich­te­te Mit­te April, dass sich An­grif­fe ge­zielt ge­gen lei­ten­de An­ge­stell­te, Po­li­ti­ker und an­de­re hoch­ran­gi­ge Per­so­nen rich­ten.

An­fang April ge­sell­te sich noch ei­ne kri­ti­sche Si­cher­heits­lü­cke in Po­w­er­point da­zu. Auch hier dau­er­te es sechs bis acht Wo­chen bis die Pat­ches für die bei­den An­wen­dun­gen ver­füg­bar wa­ren. Für die­se Lü­cken exis­tie­ren be­reits Ex­ploits „in the wild“.

Ei­gent­lich hät­te je­der ver­ant­wor­tungs­vol­le Ad­min al­le die­se Do­ku­men­ten­-­Ty­pen an der Fire­wall und am Mail­-­Gat­ways aus­fil­tern müs­sen. Doch je­der, der das vor­sch­lü­ge, wür­de wohl schlicht­weg für ver­rückt er­klärt wer­den. Denn via Acro­bat­-, Ex­cel- und Po­w­er­point­-­For­ma­ten wird schließ­lich ein Groß­teil al­ler ge­schäfts­re­le­van­ten In­for­ma­ti­o­nen wei­ter­ge­ge­ben. Sie zu blo­ckie­ren, hie­ße so­viel wie der „Ge­schäfts­füh­rung mit nack­tem Arsch ins Ge­sicht sprin­gen“.

Den­noch mein Rat: Sprin­gen Sie! Sei­en Sie mu­tig und ris­kie­ren Sie, dass Sie schwach an­ge­re­det wer­den. Letzt­end­lich wer­den näm­lich Sie da­für ver­ant­wort­lich ge­macht, wenn et­was pas­sier­t.

Allzeit bereit – für das nächste Mal

Auch beim „nächs­ten Ma­l“ wer­den Sie wie­der in der glei­chen Si­tua­ti­on sein. Be­rei­ten Sie sich vor:

  • Nut­­zen Sie die Ge­le­­gen­heit, dem Vor­­­stand und den lei­ten­­den An­­ge­­stell­ten zu ver­­­mit­teln, dass ge­ra­­de sein Un­­ter­­neh­­men das Ziel von An­­grei­­fern sein könn­ten.

  • Be­rei­ten Sie ei­­ne Mit­­a­r­­bei­ter­­-­­In­­for­­ma­ti­on vor, die Sie schnell in Um­­lauf brin­­gen kön­­nen. Wei­­sen Sie auch dar­auf hin, dass es ei­­ne Ent­wa­r­­nung ge­­ben wird, wenn die aku­te Ge­fahr vor­­­bei ist.

  • Nut­­zen Sie die Ge­le­­gen­heit, Mit­­a­r­­bei­ter/­­-­­in­­nen dar­auf hin­­­zu­wei­­sen, nur Do­­ku­­men­te aus ver­­trau­ens­wür­­di­­gen Quel­len zu öff­­nen, die sie auch er­wa­r­ten.

  • Wenn Sie dür­­fen, set­­zen Sie Soft­­wa­re ein, die Sie raus aus dem Main­stream bringt und da­­mit raus aus der Schuß­­li­­nie! Nut­­zen Sie an­­de­­re PDF View­­er (ht­t­p://w­w­w.p­d­frea­­der­s.or­g. ) und es gibt auch Al­ter­na­ti­­ven zu MS Of­­fi­­ce: Tex­t­­Ma­ker, Ope­n­Of­­fi­ce bzw. Sta­r­Of­­fi­­ce.


Dis­kus­si­ons­be­da­r­f? Mai­len Sie ein­fach an ko­lum­ne@­go­ebel­-­con­sul­t.­de.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de