[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PDF-Sicherheit



Christian Knoke:
> Jochen Spieker schrieb am 27. Apr um 12:49 Uhr:
>> Christian Knoke:
>>> 
>>> welche Gefahren gehen eigentlich von PDF-Dateien aus, die ich auf meinem
>>> Debian-System öffne? Zum Beispiel bei dynamischen/aktiven Inhalten, ich
>>> weiss nicht was es da heute so gibt.
>> 
>> PDF ist ein hochkomplexes Format, das mehr oder weniger direkt
>> ausführbaren Code enthält. Das ist schon inhärent nicht wirklich sicher,
>> das gilt aber für kaum ein sinnvolles Dateiformat. Selbst Plain Text ist
>> nicht (mehr) ohne, weil UTF an manchen Stellen eklig geworden ist.
> 
> Selbst UTF? Oje.

Naja, ich habe mein Posting etwas unsauber strukturiert. In UTF-8/16/32
ist natürlich kein ausführbarer Code drin. Aber auch ohne das sind die
verschiedenen Varianten erstaunlich komplex und ich würde mich da nicht
über Implementierungsfehler mit Exploit-Potential wundern. Mein Punkt
ist, dass es kein sicheres Dateiformat gibt.

> Also "aktive Inhalte" abschalten wie bei Javascript geht nicht?

Javascript kann in PDF enthalten sein. Ob das jemand außer Adobe
unterstützt, weiß ich nicht.

> Dann sollte man zu diesem Zweck mal eine VM starten, oder Container, und die
> Datei darin aufmachen?

Das wäre sicherer, ja.

J.
-- 
If I won the lottery I would keep all the money and wallpaper my house
with it.
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

Attachment: signature.asc
Description: PGP signature


Reply to: