Баян-дыра в акробате

Мир катиццо к вендекапцу, опенсурсники - к всемирному щастю, проприетарщики - к биореактору.

"It's an inherent architectural problem in the way files are read."

xpdf, kpdf и ghostview тоже уязвимы, или нет?

>xpdf, kpdf и ghostview тоже уязвимы, или нет?

не, там свои дыры....

______

имхо линуксойды могут не беспокоиться, хакерам будет влом делать кросплатформенный эксплойт, не говоря о том что автор обещал не вскрывать информацию до тех пор, пока адобовцы не выпустят заплатку...

> хакерам будет влом делать кросплатформенный эксплойт

ghostscript есть и под оффтопик. Поэтому хотелось бы знать: дыра в акробате или сам формат pdf принципиально дыряв.

PDF - не нужен!

>pdf принципиально дыряв

так не бывает.

Вспомни про WMF!

хмм, я думал что все знают что pdf это "декларативный" родственник postscript, и точно не может иметь "underlying architecture of such files is from a previous era, and includes features which allow actual code to be executed whenever a file opens", тем более этого не может быть в стандарте по причине кросплатформенной природы этого формата.

WMF это вабще ахтунг и abomination.

> Вспомни про WMF!

Windows MetaFile? А что с ним не так помимо багов с проигрыванием, которые так и не починили с Windows 3.1?

> и точно не может иметь "underlying architecture of such files is from a previous era, and includes features which allow actual code to be executed whenever a file opens"

Проприетарный буллшит ещё и не такое может иметь, вон, в венде до сих пор 16битный код в наличии.

лучше бы молчал.

> features which allow actual code to be executed whenever a file opens

В PDF можно внедрять шрифты TTF? TTF могут содержать исполняемый код? Если оба раза "да" (по надёжным источникам не проверял), потенциальный эксплойт готов.

> этого не может быть в стандарте по причине кросплатформенной природы этого формата.

Это может существовать де-факто для конкретной платформы. Если дыра кроссплатформенная -- удар по PDF и всему открытому, что на него полагается. Если нет -- шаг к вендекапцу :)

>TTF могут содержать исполняемый код?

исполняемый нативный код не могут, интерпретируемый могут. Это две большие разницы.

>Это может существовать де-факто для конкретной платформы.

"Де факто" к стандарту отношения иметь не может. Не слышал что бы для реализации смотрелок PDF приходилось реализовывать что-то "Де факто".

>Если нет -- шаг к вендекапцу :)

PDF это признанный открытый стандарт, и к вендекапцу его уязвимости только вредят. Мсы всё время порываются создать свой аналог PDF...

> исполняемый нативный код не могут, интерпретируемый могут.

Понятно. Об этом и спрашивал.

пдф - ацтой

есть предложения кардинально лучше ?

>> TTF могут содержать исполняемый код?

> исполняемый нативный код не могут,

Зато, оказывается, могут TIFF: http://www.cnews.ru/cgi-bin/redirect.cgi?http://safe.cnews.ru/bugtrack/entry/... А TIFF можно внедрить и в PDF. Имхо, для обработки TIFF почти все отталкиваются от какой-то древней библиотеки, так что уязвимость может быть и в других программах. Конечно, возникает задача написать кроссплатформенный вирус, и он в любом случае будет поражать только один тип процессоров...