Es handelt sich dabei um keine Sicherheitslücke, aber es ist für manche ein Datenschutzproblem, da Fremde darüber Information über die Verzeichnisstruktur auf dem Rechner des Autoren erhalten. Eventuell enthalten bereits die Pfadangaben verräterische Details über Nutzernamen, installierte Software oder in welche Kategorie ein Dokument eingeordnet wurde.

Ein Sicherheitsspezialist mit dem Pseudonym Inferno, der Entdecker des Problems, weist darauf hin, dass bereits eine simple Google-Suche Millionen von PDF-Dokumenten indexiert, die derartige Pfadangaben enthalten.

Die Ursache des Problems besteht darin, dass der Internet Explorer als Titel des Dokuments den vollständigen Speicherpfad plus Datennamen einträgt. Es ist dabei unabhängig davon, welcher PDF-Writer zum Einsatz kommt.

Im Test der heise-Security-Redaktion fand sich der Eintrag in der Kombination IE8 und CutePDF, aber auch die Writer von Adobe (Distiller) und anderer Hersteller führen zusammen mit Microsofts Browser zu dem Problem. Der Firefox trägt als Titel des Dokuments nur den Dateinamen ein.

Über das Problem soll Microsoft informiert sein, angeblich soll es im Internet Explorer 9 beseitigt werden. Als Workaround schlägt Inferno vor, den verräterischen Einträg mit einem Editor zu entfernen, obwohl das PDF anschließend kaputt ist und ein Reader keinen Text mehr darstellt.

Quelle und ganzer Artikel: heise online