На 27 конгрессе Chaos Communication в Берлине экспертом по безопасности Джулией Вольф (Julia Wolf) раскрыта информация о ранее недокументированных рисках безопасности, связанных с использованием формата PDF.
- Документ в формате PDF может содержать сканер БД, который начинает сканировать локальную сеть, когда PDF-документ печатают на сетевом принтере.
- PDF документ способен отображать различную, в зависимости от приложения, используемого для открытия документа, информацию, а также - в зависимости от операционной системы, настроек локали и в зависимости от устройства отображения.
Также были озвучены и ранее известные проблемы формата: PDF -документы согласно спецификации являются контейнерами и могут содержать исполняемый JavaScript код, а также документы практически любого формата (включая XML, Flash ролики, теги радиоидентификации (RFID) и DRM защиту).
При всём этом возможен неограниченный уровень вложенности: в качестве примера - несложно встроить в PDF-документ ZIP-архив, который открывается посредством JavaScript, итогом будет выполнение ряда операций. Защитное ПО будет введено в заблуждение и целевая система - подвержена опасности выполнения злонамеренного кода.
Список опасностей PDF-формата - на
этой странице
.
