6-летний баг представляет опасность для пользователей программ, работающих с PDF

6 лет назад на встрече «Chaos Communication Camp» специалист Андреас Бог сообщил о том, что в популярной среди пользователей ОС Linux программе под названием «Evince» есть уязвимость.

В то время баг в программе «Evince» не вызвал большой тревоги, так как затрагивал лишь незначительное число устройств, которые работают на Linux. Однако, в настоящее время разработчик Ханно Бек утверждает, что уязвимость все еще актуальна и несет немалую угрозу безопасности. Кроме того, Бек отмечает, что популярные сейчас программы для просмотра и редактирования PDF-файлов подвержены той же угрозе, которая висела над программой «Evince». Так, специалист продемонстрировал то, о чем утверждает, используя технику фаззинга. Ему удалось «загнать» в бесконечный цикл PDFium не обращаясь за помощью к плагинам. Такая же проблема присутствует и в библиотеке pdf.js.

Более того, уязвимой названа и библиотека Windows Runtime PDF Renderer. Бек критикует разработчиков, которые не поддерживают свои тестовые комплекты в актуальном состоянии. Специалист рекомендует пользователям всегда проверять использованные для работы с PDF-файлами приложения.