Nebezpečí skrývající se v PDF dokumentech

No, to jsi opravdu googlil jen tak narychlo.

Nějaký odkaz ohledně nebezpečnosti Linuxových PDF viewerů by nebyl? Opravdu by mě to zajímalo.

Linuxové viewry mohou být třeba dokonalé, ale podívej se, co ten "formát" umožňuje.

GCC také není malware či škodlivý program, ale přeložit v něm můžeš program, který takovým je. Stejně tak skriptovací jazyky povolené v PDF a další zvěrstva mohou být dosti záludné.

Takže jsem si našel stránku, na které jsou PDF se skripty. Ze čtyř nefungoval ani jeden, z toho dva dokonce spadly. Myslí, že narušení bezpečnosti linuxu pomocí PDF opravdu zatím nehrozí :-)

Ano, zasada je vyhnout se Adobe readeru sirokym obloukem a zasadne nikdy nezapinat javascript v pdf.

Zatim jsem jeho jedine "rozumne" vyuziti v pdf videl jako kalkulacku (proof of concept), jinak nikdy. Pritom mnoho mnoho exploitu vyzaduje javascript pro heap spraying apod.

Nevim jestli to bylo pres JS, ale predpokladam ze ano, ale mel jsem PDF formular, ktery dopocitaval podle vlozenych cisel dalsi; neco jako danove priznani. To bylo urcite rozumne vyuziti.

před půl rokem jsem studoval strukturu formátu PDF a uplně imbecilně se tam drželi myšlenky, že se to musí všude zobrazovat stejně (přičemž nechápu, jak můžou dovolit nezaručené fonty (verze 1.3) a skriptování (asi od 1.3))

ať to oddělí tak jako (nechcu moc hřešit ale napíšu to) excel který má příponu .xlsx nemá právo spouštět makra ale to co má příponu xslm nebo tak nějak to má.

Moze my niekto vysvetlit nasledovne?
Da sa vytvorit PDF ktore obsahuje zmluvu a dnes tam zobrazuje 1.000 EUR a o 1 rok bude zobrazovat 1.000.000 EUR?
Co potom ked takyto dokument podpisem zabezpecenym podpisom vo viere ze je to 1.000 EUR a o rok musim vratit 1.000.000,-?
Som uplne mimo?

Lahka pomoc, vratit na hodinach v pc cas o jeden rok dozadu:-)

Já myslím, že on to myslel jinak.
Že bude v dokumentu místo částky kód odpovídající:

if (datum < 1.1.2012) {
  print "1.000 EUR";
} else {
  print "1.000.000 EUR";
}

Soubor a jeho obsah se tedy v čase měnit nebude, hash taky ne, ale při samotném zobrazení/tisku tam bude pokaždé něco jiného...

Ovšem pokud může javascript v dokumentu některé věci spři zobrazení skrývat a jiné odkrývat, tak podpis pochopitelně zůstane stejný - předpokládám, že se podepisuje binární kód dokumentu a ne jeho grafická podoba :-). Vrátit čas počítače zpět by mne při rozdílu 1:1000000 možná napadl, protože bych zkoušel opravdu vše, je otázka zda by to napadlo i někoho jiného a zda by třeba poměr 1:1.2 neprošel...

Ovsem takove jednani zrejme naplni skutkovou podstatu tr. cinu podvodu, takze je jedno jak to bude.

Predpokladam, ze i papirova smlouva, ktera by po case vytvorila nove cislice nebo nejak zmenila obsah by byla take povazovana za podvod, tedy pokud by se jej podarilo nekomu prokazat :-).

Na zaver, na epodatelna.jus­tice.cz je ke stazeni navrh na vydani elektronickeho platebniho rozkazu, coz je trosku sofistikovanejsi PDF formular. Bohuzel je mozne jej spustit jen pod Acroreaderem. Predpokladam, ze tam je javascript, navic neskutecne pomaly (napisete jmeno zalovaneho a nez vam to dovoli jit dal chvili musite cekat :-) ).

K tomu PDFku se da dostat pres "nove podani" k soudu, nasledne tam je seznam, EPR.pdf je to o cem mluvim.