Martin Klaiber: > > Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es > eine richtige Programmiersprache ist? PDF enthält laut Wikipedia eine Teilmenge der Programmiersprache aus PostScript: https://en.wikipedia.org/wiki/PDF#Technical_foundations Inwieweit das dadurch weniger gefährlich ist, weiß ich nicht. > Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und > Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den > Unterschieden zwischen den PDF-Versionen). Siehe auch den Artikel oben. Nicht alle Interpreter unterstützen die komplette Spec, insbesondere eingebettetes Javascript. > Egal wie..., bei einer schnellen Websuche fand ich das hier: > > <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/> > > Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt, > sofern das keine Fake-News sind. Ja, Ghostscript ist hinreichend zerlegt worden. Das stellt sich mir ähnlich dar, wie das OpenSSL-Debakel. Uraltes Mistzeug in C, das auseinanderfällt, wenn sich mal jemand die Mühe macht, das näher anzuschauen. Da gibt es sicher noch viel mehr von auf einem durchschnittlichen Linux-System. PuTTY (ja, eher Windows) ist ja auch gerade durch bloßes Hinschauen kaputtgegangen. Die Frage ist, ob sich jemand die Mühe macht, das auszunutzen. Ich halte Verwundbarkeiten, die ein Linux-System jenseits der üblichen Serverdienste angreifbar machen, für wenig praxisrelevant -- außer bei gezielten Angriffen, natürlich. Aber das ist reines Bauchgefühl. J. -- Atrocities committed in Rwanda pervade my mind when I am discussing mundanities with acquaintances. [Agree] [Disagree] <http://archive.slowlydownward.com/NODATA/data_enter2.html>
Attachment:
signature.asc
Description: PGP signature