| Esta discussão foi arquivada. Não se pode acrescentar nenhum comentário. |
| | Já li o artigo e ainda não percebi qual é o erro...?
Os pdf's não deviam ter links ...?
Ou os leitores não os deviam correr...?
Como é que o pdf permite correr código se o user que o está a usar não tem permissões para isso...?
Ou o maior bug continua a ser o espantalho que está à frente do monitor que anda a ver pdf's logado como root...?
|
| |
| |
| | O artigo podia estar mais completo, mas também é necessário que percebas o significado de "conter hyperlinks com código malicioso capaz de executar comandos arbitrários", já que é a explicação de todo o problema.
Já li o artigo e ainda não percebi qual é o erro...?
A possibilidade de executar comandos que podem estar embebidos em links num documento PDF.
Os pdf's não deviam ter links ...?
Deviam, mas não com a possibilidade de embeber comandos nos mesmos.
Ou os leitores não os deviam correr...?
Agora que o bug é conhecido e enquanto não tiverem aplicado o fix, convém ter cuidado com os links que seguem nos documentos PDF que abrem.
Como é que o pdf permite correr código se o user que o está a usar não tem permissões para isso...?
Estás a fazer alguma confusão... ninguém falou em alteração de previlégios, os comandos correm com as permissões do utilizador que está a abrir o documento.
|
| |
| | | Estás a fazer alguma confusão... ninguém falou em alteração de previlégios, os comandos correm com as permissões do utilizador que está a abrir o documento. Como por exemplo o " rm -fR ~/* " ?? o_O Vc tem permissões suficientes para apagar seus próprios arquivos, e são seus arquivos que são importantes - não um sistema que hoje pode ser reinstalado tão facilmente que esta ocorrência está mais próxima de ser chamada de aborrecimento que outra coisa...
[]s,
Pink@Manaus.Amazon.Brazil.America.Earth.SolarSystem.OrionArm.MilkyWay.Universe |
| |
| | | O artigo não vale nada. Não se percebe ao certo qual é o bug, quais os sistemas afectados, etc... Quem submete e aprova os artigos devia ter mais atenção a isso. Não tinha custado nada incluir o link para o CERT. De qualquer forma, aqui fica o link para os interessados. http://www.kb.cert.org/vuls/id/200132
"There are 10 types of people in the world: the ones who understand binary and the ones who don't." |
| |
| |
| | | Além da informação incorrecta: xpdf
|
| |
| | Segundo o Cert, o Adobe Acrobat 5.06 e o Xpdf 1.01
o cert baseou-se neste report
I've only verified the following programs on Redhat Linux 8.0.
Xpdf 1.01
Adobe Acrobat Reader 5.06
segundo o proprio XPDF o buraco e' na 2.02 e nao e apenas na 1.01
Xpdf 2.02pl1 was released 2003-jun-16.
This version includes a small patch that fixes a security hole in version 2.02.
It was possible to construct a malicious URL link in a PDF file which would cause an arbitrary command to be run. The patch changes things to that the various characters which can cause trouble are escaped (%xx) before calling system(). This patch also changes the "launch" link verification dialog to provde a scrolling view of the command about to be run when the command string is excessively long.
This security hole (and the patch) only affect the Unix viewer -- they do not affect the command tools on Unix, Windows, or other operating systems.
Make World; Not War; |
| |
