[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: PDF-Sicherheit



Martin Klaiber:
> 
> Ist Postscript in diesem Zusammenhang nicht eher gefährlicher, weil es
> eine richtige Programmiersprache ist?

PDF enthält laut Wikipedia eine Teilmenge der Programmiersprache aus
PostScript:

https://en.wikipedia.org/wiki/PDF#Technical_foundations

Inwieweit das dadurch weniger gefährlich ist, weiß ich nicht.

> Gibt es einen Unterschied zwischen einem PDF für Adobe Reader und
> Ghostscript? Ich dachte, PDF sei PDF (abgesehen natürlich von den
> Unterschieden zwischen den PDF-Versionen).

Siehe auch den Artikel oben. Nicht alle Interpreter unterstützen die
komplette Spec, insbesondere eingebettetes Javascript.

> Egal wie..., bei einer schnellen Websuche fand ich das hier:
> 
>    <https://www.bleepingcomputer.com/news/security/no-patch-available-yet-for-new-major-vulnerability-in-ghostscript-interpreter/>
> 
> Ghostscript wurde also offenbar schon erfolgreich für Attacken benutzt,
> sofern das keine Fake-News sind.

Ja, Ghostscript ist hinreichend zerlegt worden. Das stellt sich mir
ähnlich dar, wie das OpenSSL-Debakel. Uraltes Mistzeug in C, das
auseinanderfällt, wenn sich mal jemand die Mühe macht, das näher
anzuschauen. Da gibt es sicher noch viel mehr von auf einem
durchschnittlichen Linux-System. PuTTY (ja, eher Windows) ist ja auch
gerade durch bloßes Hinschauen kaputtgegangen.

Die Frage ist, ob sich jemand die Mühe macht, das auszunutzen. Ich halte
Verwundbarkeiten, die ein Linux-System jenseits der üblichen
Serverdienste angreifbar machen, für wenig praxisrelevant -- außer bei
gezielten Angriffen, natürlich. Aber das ist reines Bauchgefühl.

J.
-- 
Atrocities committed in Rwanda pervade my mind when I am discussing
mundanities with acquaintances.
[Agree]   [Disagree]
                 <http://archive.slowlydownward.com/NODATA/data_enter2.html>

Attachment: signature.asc
Description: PGP signature


Reply to: