Eingabehilfen
Adobe
Anmelden Datenschutz Mein Adobe

Sicherheitshinweis

Server-seitige Lösungen zur Verhinderung von Sicherheitslücken beim Cross-Site-Scripting in Adobe Reader und Adobe Acrobat, Version 7.0.8 und früher

Freigabedatum: 9. Januar 2007

Kennung der Sicherheitslücke: APSA07-02

CVE-Nummer: CVE-2007-0045

Zusammenfassung

Dieser Sicherheitshinweis erläutert Server-seitige Lösungsmöglichkeiten für Website-Betreiber, mit denen sie die Sicherheitslücke beim Cross-Site-Scripting beheben können, die im Sicherheitsbulletin APSB07-01 dokumentiert wird. Adobe empfiehlt allen Anwendern von Adobe Reader und Adobe Acrobat zur Vermeidung des Problems die Aktualisierung der Software.

Lösung

Adobe empfiehlt allen Anwendern von Adobe Reader und Adobe Acrobat zur Vermeidung des Problems die Aktualisierung der Software. Die Server-seitigen Lösungsmöglichkeiten werden im Folgenden ausführlich beschrieben.

HINWEIS: Sie sollten alle Konfigurationsänderungen in einer nicht produktionsrelevanten Umgebung testen, bevor Sie sie in der Produktionsumgebung vornehmen.

MIME-Typ der Adobe PDF-Dateien ändern
Um zu verhindern, dass Plug-ins für Adobe Reader und Adobe Acrobat JavaScript an den Browser übergeben, können Sie z. B. sicherstellen, dass Adobe PDF-Dateien nicht im Browser, sondern nur mit Adobe Reader oder Acrobat Professional geöffnet werden. Ändern Sie dazu den MIME-Typ (Multipurpose Internet Mail Extension) der Dateierweiterung .pdf (application/pdf) in einen generischen Binärtyp (application/octet-stream), sodass der Anwender vom Webbrowser zum Öffnen oder Speichern aufgefordert wird.


IIS 6.0
  1. Öffnen Sie den Internet Information Services Manager.
  2. Suchen Sie den Ordner mit den Adobe PDF-Dateien, die auf Ihrer Website gespeichert sind.
  3. Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Eigenschaften.
  4. Wählen Sie die Registerkarte HTTP-Header.
  5. Klicken Sie auf die Schaltfläche MIME-Typen….
  6. Klicken Sie auf Neu..., um einen neuen MIME-Typ zu erstellen.
  7. Geben Sie als Erweiterung pdf und als MIME-Typ application/octet-stream ein.
  8. Klicken Sie auf OK.
  9. Klicken Sie auf OK.
  10. Mit OK werden Ihre Änderungen gespeichert.

Hinweis: Diese Eigenschaft kann für eine bestimmte Datei geändert werden.

Apache 2.2.3

Verwenden Sie mod_mime und AddType oder mod_rewrite.

  1. Öffnen Sie httpd.conf oder .htaccess.
  2. Suchen Sie den Abschnitt <IfModule mime_module>.
  3. Fügen Sie Folgendes ein: AddType application/octet-stream .pdf
  4. Speichern und schließen Sie httpd.conf bzw. .htaccess.
  5. Starten Sie den Apache-Dienst neu.

Content-Disposition Header hinzufügen
Ähnlich bei der Änderung des MIME-Typs kann die Server-Reaktion um einen Content-Disposition Header ergänzt werden.


IIS 6.0
  1. Öffnen Sie den Internet Information Services Manager.
  2. Suchen Sie den Ordner mit den Adobe PDF-Dateien, die auf Ihrer Website gespeichert sind.
  3. Klicken Sie mit der rechten Maustaste auf den Ordner, und wählen Sie Eigenschaften.
  4. Wählen Sie die Registerkarte HTTP-Header.
  5. Klicken Sie auf die Schaltfläche MIME-Typen….
  6. Klicken Sie im Abschnitt „Benutzerdefinierte HTTP-Header“ auf die Schaltfläche Hinzufügen.
  7. Fügen Sie einen Header mit der Bezeichnung Content-Disposition und folgendem Wert hinzu:

attachment; filename=yourfile.pdf

  1. Mit OK werden Ihre Änderungen gespeichert.

Beachten Sie, dass diese Änderung für jeweils eine Datei erfolgt.

Apache 2.2.3

Verwenden Sie mod_headers.

  1. Öffnen Sie httpd.conf.
  2. Fügen Sie Folgendes hinzu:

<IfModule mod_headers.c>
  <FilesMatch "\.pdf$">
      Header append Content-Disposition "attachment;"
  </FilesMatch>
</IfModule>

  1. Speichern und schließen Sie httpd.conf.
  2. Starten Sie den Apache-Dienst neu.

Adobe PDF-Dateien in einem Verzeichnis ohne Web-Zugriff speichern
Falls in Ihrer Umgebung kein Zugriff auf die Konfigurationsdateien möglich ist, sollten Sie Server-seitigen Code (ColdFusion, Java, PHP, ASP.NET usw.) erstellen, mit dem die Datei gelesen und als Teil der Antwort zurückgesendet wird. So könnte etwa MyPDF.cfm ein Skript sein, das die richtige Adobe PDF-Datei zurückgibt.
Hinweis: In jedem Fall müssen Sie Response.ContentType auf “application/pdf” oder “application/octet-stream” setzen. Weitere Informationen erhalten Sie in der Dokumentation zu Ihrer Server-Sprache.

Schweregrad

Adobe stuft dieses Problem als wichtig ein und empfiehlt die Aktualisierung der betroffenen Software-Versionen.

Details

Dieser Sicherheitshinweis erläutert Server-seitige Lösungsmöglichkeiten für Website-Betreiber, mit denen sie die Sicherheitslücke beim Cross-Site-Scripting beheben können, die im Sicherheitsbulletin APSB07-01 dokumentiert wird. Aufgrund dieser Sicherheitslücke beim Cross-Site-Scripting (XSS) in Adobe Reader und Adobe Acrobat bis einschließlich Version 7.0.8 können externe Angreifer beliebigen JavaScript-Code in eine Browser-Sitzung einfügen. Dieses Problem kann auftreten, wenn ein Anwender auf einen manipulierten Link zu einer Adobe PDF-Datei klickt. Die Auswirkungen des Exploits hängen vom verwendeten Browser bzw. der Version des Browsers ab. Die Sicherheitslücke ermöglicht keine Ausführung von Binärcode. Diese Schwachstelle kann durch externe Exploits ausgenutzt werden. Adobe empfiehlt allen Anwendern von Adobe Reader und Adobe Acrobat zur Vermeidung des Problems die Aktualisierung der Software.

 

Sicherheitshinweise
Benachrichtigungsdienst*
Ressourcen*
Problem melden*
Einstufung der Sicherheitsrisiken

Produkte

Herunterladen

Support und Lernressourcen

Kaufen

Über Adobe

Region wählen

Copyright © 2013 Adobe Systems Software Ireland Ltd. All rights reserved.

Nutzungsbedingungen | Richtlinien für den Datenschutz (Aktualisiert) | Cookies