Martin Klaiber:
>
> Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
> eine richtige Programmiersprache ist?
PDF enthält laut Wikipedia eine Teilmenge der Programmiersprache aus
PostScript:
https://en.wikipedia.org/wiki/PDF#Technical_foundations
Inwieweit das dadurch weniger gefährlich ist, weiß ich nicht.
> Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
> Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
> Unterschieden zwischen den PDF-Versionen).
Siehe auch den Artikel oben. Nicht alle Interpreter unterstützen die
komplette Spec, insbesondere eingebettetes Javascript.
> Egal wie..., bei einer schnellen Websuche fand ich das hier:
>
> <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/>
>
> Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt,
> sofern das keine Fake-News sind.
Ja, Ghostscript ist hinreichend zerlegt worden. Das stellt sich mir
ähnlich dar, wie das OpenSSL-Debakel. Uraltes Mistzeug in C, das
auseinanderfällt, wenn sich mal jemand die Mühe macht, das näher
anzuschauen. Da gibt es sicher noch viel mehr von auf einem
durchschnittlichen Linux-System. PuTTY (ja, eher Windows) ist ja auch
gerade durch bloßes Hinschauen kaputtgegangen.
Die Frage ist, ob sich jemand die Mühe macht, das auszunutzen. Ich halte
Verwundbarkeiten, die ein Linux-System jenseits der üblichen
Serverdienste angreifbar machen, für wenig praxisrelevant -- außer bei
gezielten Angriffen, natürlich. Aber das ist reines Bauchgefühl.
J.
--
Atrocities committed in Rwanda pervade my mind when I am discussing
mundanities with acquaintances.
[Agree] [Disagree]
<http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: PGP signature