LINUX.ORG.RU

Мир катиццо к вендекапцу, опенсурсники - к всемирному щастю, проприетарщики - к биореактору.

AngryElf ★★★★★
()
Ответ на: комментарий от acheron

>xpdf, kpdf и ghostview тоже уязвимы, или нет?

не, там свои дыры....

______

имхо линуксойды могут не беспокоиться, хакерам будет влом делать кросплатформенный эксплойт, не говоря о том что автор обещал не вскрывать информацию до тех пор, пока адобовцы не выпустят заплатку...

zort
()
Ответ на: комментарий от zort

> хакерам будет влом делать кросплатформенный эксплойт

ghostscript есть и под оффтопик. Поэтому хотелось бы знать: дыра в акробате или сам формат pdf принципиально дыряв.

acheron ★★★★
()

PDF - не нужен!

anonymous
()
Ответ на: комментарий от the_one

хмм, я думал что все знают что pdf это "декларативный" родственник postscript, и точно не может иметь "underlying architecture of such files is from a previous era, and includes features which allow actual code to be executed whenever a file opens", тем более этого не может быть в стандарте по причине кросплатформенной природы этого формата.

WMF это вабще ахтунг и abomination.

zort
()
Ответ на: комментарий от the_one

> Вспомни про WMF!

Windows MetaFile? А что с ним не так помимо багов с проигрыванием, которые так и не починили с Windows 3.1?

acheron ★★★★
()
Ответ на: комментарий от zort

> и точно не может иметь "underlying architecture of such files is from a previous era, and includes features which allow actual code to be executed whenever a file opens"

Проприетарный буллшит ещё и не такое может иметь, вон, в венде до сих пор 16битный код в наличии.

Gharik
()
Ответ на: комментарий от zort

> features which allow actual code to be executed whenever a file opens

В PDF можно внедрять шрифты TTF? TTF могут содержать исполняемый код? Если оба раза "да" (по надёжным источникам не проверял), потенциальный эксплойт готов.

> этого не может быть в стандарте по причине кросплатформенной природы этого формата.

Это может существовать де-факто для конкретной платформы. Если дыра кроссплатформенная -- удар по PDF и всему открытому, что на него полагается. Если нет -- шаг к вендекапцу :)

acheron ★★★★
()
Ответ на: комментарий от acheron

>TTF могут содержать исполняемый код?

исполняемый нативный код не могут, интерпретируемый могут. Это две большие разницы.

>Это может существовать де-факто для конкретной платформы.

"Де факто" к стандарту отношения иметь не может. Не слышал что бы для реализации смотрелок PDF приходилось реализовывать что-то "Де факто".

>Если нет -- шаг к вендекапцу :)

PDF это признанный открытый стандарт, и к вендекапцу его уязвимости только вредят. Мсы всё время порываются создать свой аналог PDF...

zort
()
Ответ на: комментарий от zort

>> TTF могут содержать исполняемый код?

> исполняемый нативный код не могут,

Зато, оказывается, могут TIFF: http://www.cnews.ru/cgi-bin/redirect.cgi?http://safe.cnews.ru/bugtrack/entry/... А TIFF можно внедрить и в PDF. Имхо, для обработки TIFF почти все отталкиваются от какой-то древней библиотеки, так что уязвимость может быть и в других программах. Конечно, возникает задача написать кроссплатформенный вирус, и он в любом случае будет поражать только один тип процессоров...

acheron ★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.