Ein Team von Forschern der Ruhr-Universität Bochum hat Schwachstellen in häufig genutzten PDF-Anwendungen gefunden, die es erlauben, digitale Signaturen von Dokumenten zu fälschen. Betroffen sind 21 von 22 überprüften Desktop-Apps. Die Fehler treten zudem bei sechs von acht geprüften Online-Diensten für die digitale Signierung von PDF-Dateien auf.
Unter anderem sind Adobes Acrobat Reader, Foxit Reader und der in LibreOffice integrierte PDF-Viewer angreifbar. Zu den unsicheren Online-Diensten gehören DocuSign und Evotrust. Die jeweiligen Anbieter wurden seit Anfang Oktober von den fünf Forschern sowie Experten des Computer Emergency Response Team des Bundesamts für Sicherheit in der Informationstechnik informiert.
In seinem Forschungsbericht beschreibt das Team um Vladislav Mladenov insgesamt drei Angriffe beziehungsweise Sicherheitslücken. Sie führen dazu, dass sich der Inhalt von bereits signierten Dokumenten beliebig ändern lässt, ohne dass die Signatur ihre Gültigkeit verliert. „Wir können also ein von invoicing@amazon.de signiertes Dokument erstellen, das uns eine Billion Dollar erstattet“, schreiben die Forscher auf ihrer Website.
Für das Galaxy S10+ ruft Samsung mit 1249 Euro einen stolzen Preis auf. Dafür erhält man ein spitzenmäßig verarbeitetes Smartphone mit 512 GByte Speicher und 8 GByte RAM. Das Display mit Kameraloch hinterlässt jedoch einen zwiespältigen Eindruck.
Beim ersten Angriff, Universal Signature Forgery (USF) genannt, kann ein Angreifer das Prüfverfahren für die digitale Signatur täuschen und dazu bringen, dass eine App die Gültigkeit einer veränderten oder ungültigen Signatur bestätigt. Beim Incremental Saving Attack (ISA) wird einem signierten Dokument weiterer Inhalt hinzugefügt – ohne die vorhandene Signatur zu schwächen. Der Signature-Wrapping-Angriff wiederum täuscht die Signaturprüfung, sodass diese den hinzugefügten Inhalt umgeht und somit die Aktualisierung des Dokuments digital signiert.
„Fall Sie eine der von uns analysierten Desktop-Viewer verwenden, sollten Sie bereits ein Update erhalten haben“, erklärten die Forscher. Andernfalls raten die Forscher, ein manuelles Update auszuführen, um zu verhindern, dass ihnen manipulierte signierte PDF-Dateien untergeschoben werden. „Derzeit sind uns keine Exploits bekannt, die unsere Angriffe nutzen.“
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
Das jüngste Update bringt insgesamt zwölf Fixes. Schadcode lässt sich unter Umständen ohne Interaktion mit…
Eine softwarebasierte Workstation soll es Ingenieuren erlauben, sämtliche Steuerungen zentral zu verwalten. Pilotkunde ist Ford.
Kryptodiebstahl und finanzieller Gewinn sind laut ESET-Forschungsbericht die vorrangigen neuen Ziele.
