Die Dokumente im Adobe-PDF-Format lassen erkennen, wo genau die Datei auf der Festplatte gespeichert ist. Dies gibt oft den Login-Namen des Erstellers preis, der möglicherweise Rückschlüsse auf den realen Namen zuläßt. Zudem können Rückschlüsse auf das verwendete Betriebssystem gezogen werden, da sich die Laufwerks- und Verzeichnis-Namen zwischen Windows und unixoiden Betriebssystemen wie Linux und Mac OS deutlich unterscheiden. Teilweise läßt der Pfad auch Rückschlüsse auf laufende Projekte oder auf installierte Software zu.

Gefunden werden können die Dateien durch schlichte Suchmaschinen-Anfragen mit einigen speziellen Parametern, wie dieses Beispiel mit mehreren Tausend Treffern zeigt. Insgesamt sollen auf diese Art rund 50 Millionen PDF-Dokumente gefunden werden können, schätzt ein Sicherheitsexperte, der nur unter dem Pseudonym "Inferno" seine Meinung zu dieser Problematik abgeben will. Er sieht in der Schwachstelle eine durchaus ernstzunehmende Bedrohung der Privatsphäre der Betroffenen. In seinem Blog verfasste er eine recht umfangreiche Beschreibung des Bugs.

Auf diese Art auffindbar sind PDF-Dateien, die mit Hilfe des "PDF-Druckers" des Microsoft Internet Explorer erstellt wurden. Der Internet Explorer bietet, wie auch die meisten anderen Browser, im normalen Druckermenü die Funktion, Websites mit Hilfe eines beliebigen PDF-Generators in PDF-Dateien umzuwanden. Verwendet man diese Funktion für lokal gespeicherte Websites, wird bei dem PDF der genaue Speicherort der betreffenden Website in den Footer geschrieben. Dies ist mit normalen PDF-Readern nicht immer erkennbar, zeigt sich aber, sobald man die Datei in einem Texteditor öffnet und wird auch von Suchmaschinen indexiert. Einzige bekannte Gegenmaßnahme ist momentan das manuelle Entfernen der Pfad-Angabe mit Hilfe eines PDF-Editors.

Von dem Problem sind alle Versionen des Microsoft Internet Explorer betroffen. Microsoft bemüht sich nach eigenen Angaben um eine Korrektur des Verhaltens. Zugleich betonte eine Sprecherin jedoch, es handle sich "nicht um eine Schwachstelle". 

 (via The Register, thx!)

Update:

Nach Angaben von heise soll auch die Präsentations-Software PowerPoint beim PDF-Export ein ähnliches Problem haben. Auch hier können unter Umständen Pfadangaben im PDF-Dokument landen und müssen manuell deaktiviert werden.