PDFの中でLinuxが動く!驚きのハッキングに迫る
引用元:https://news.ycombinator.com/item?id=42959775
スキャナーにループでパイプする必要があるよ、スキャンする前に正しいキーを選ぶのを忘れずに。
PDFは表示される要素と印刷される要素を定義する能力があるんだ(オプショナルコンテンツ)。
- Linux Running in a PDF(doompdf.dev)
114ポイント by theden 4時間前 | フラグ | 隠す | 37コメント
2. PDFの取り込みと、なぜGemini 2.0が全てを変えるのか(sergey.fyi)
978ポイント by serjester 17時間前 | フラグ | 隠す | 323コメント
今、PDFパーサーと評価器をLLMに統合する人たちが増えているから、面白いハッキングの可能性があるかも。
LinuxをLLMで動かすって、計算リソースを奪ってLLMをトレーニングしたり、ビットコインを掘る手段になるかも。
データの出力はできるの?それとも完全に”サンドボックス”状態なのかな?おそらく出力は表示されたフィードバックだけだと思うけど。じゃあ、”このクエリ文字列で画像を読み込む”みたいなのをトリガーできるなら、他の世界と通信できる方法になるかも。
PDFは常に魅力的な攻撃ベクトルなんだ。多くの人は単にテキストだと思っていて、実行可能なコードを簡単に埋め込めることに気付いてない。アクロバットみたいな人気のリーダーには多くの脆弱性があって、会社がハッキングされる完璧な入り口になってる。
全てのPDFを高品質なサイズのDJVUに変換するのがまず最初だね(フォームのないものは特に)。グラフィックデザインに関しては$ADOBEを除いて、安全に文書としてそうするべきだよ。
ただ、外部の誰かとやり取りする必要がある時、そのアプローチは破綻するんだよね。
昨日、PDFが埋め込まれたスパム/詐欺のテキストを受け取った。すぐに削除したし、クライアントにも注意を促したよ、開かないようにって。
PDFは、”もっと害があるかも”って感じだね。ちゃんとした代替案があればいいんだけど。
OpenXPSやDjVuはどうよ?
数日前に投稿したよ:>”https://news.ycombinator.com/item?id=42891937”
リポジトリには仕組みについての説明もあるよ。
ついに!”PDFの中でLinuxを動かせるって冗談を言い続けてたけど、実際にやっちゃったね”って感じ。
ちょっと違うね。このPDFはまだブラウザを開けないから!
JS使うのは cheating っぽいけど、PostScriptでもできるかな?
可能だけど、PDFでは無理。PDFは計算力の限られたPostScriptのサブセットだけをサポートしてるから、性能に影響があると思ったからだよ。後にJavaScriptが追加されたけど。
少なくとも、PDFは一般的にJS無効でも使えるのはいいね。PDF/AやPDF/Xでは使えないけど。
一応計算的には可能で、PostScriptにはx86 CPUエミュレーションに必要な整数演算があるよ。エミュレーションメモリに便利な可変バイト文字列もあるし。
PostScriptはTuring Completeだよ。GhostScriptやzmachine.ps、calypso.z3みたいなゲームを探せばいいよ。
PostScriptではzmachine.psなるZMachineのインタープリタがあって、テキストアドベンチャーゲームが遊べるんだ。ちなみに、チェスエンジンや三目並べもあって、根気があればNESのゲームもできるかも。ただ、スタックをいじるのが必要だけど。
ついにPDFの中で’rm -rf /’ができるようになったぜ。 PostScriptは”shredpage”オペレータを通じてそれをサポートしてるんだ。 詩的だね。 このPDFをUSBに10個コピーして、モバイルKubernetesクラスターを楽しもう。 VirusTotalで少なくとも3つの検出があったけど、これが重要かはわからないね。ClamAV:Js.Trojan.Obfus-48、Cylance:Unsafe、Google:Detected。 Firefoxのabout:configでpdfjs.enableScriptingを無効にしとけよ。 LinuxをPDFの中で動かすLinux PDFエディタってないのかな?Evinceは俺には読み込めないぞ…。 俺がそれを動かせたのはChromeだけだ。Adobe ReaderやFirefox、Evinceじゃダメだな。多くの人がこの’コードをPDFで’するのはChromeにターゲットを絞ってるみたい。Chromeはドキュメント内でより多くのコード実行ができるって理由でもあるのかな? このフィルタを通してPDFを扱うことで、悪意ある行為者から防げるか知ってる人いる? Ghostscriptは信頼できないPDFを実行するのは危険だよ。攻撃面積が広くて、ブラウザのPDFリーダーみたいな適切な対策がないからね。少なくともgVisorでサンドボックスする必要があるね。 面白いね!悪意のあるPDFから守るためにワークフローをどう構築する?inotifywaitでダウンロードされたPDFを監視して、リスクのあるファイルを置き換えるのを考えてたけど、DockerでPDFをクリーンにするアイデアもいいね。ClamAVとかと統合するのもアリかも。 Ghostscriptは昔から-dSAFERがデフォ。ブラウザのPDFでJSが実行されると、サンドボックスでも二重にやられるから注意。ブラウザの脆弱性はSegfaultに似てるし、信用できないよ。 誰がこんなの作ってるんだ?最初はTetris見たけど、今度はOSまで!すごい! この狂気の多くを生み出したのはReverend Pastor Manul Laphroaigだよ。彼のことが大好きになった。 PoC||GTFOは素晴らしい雑誌だね!Travis Goodspeedにも良い印象があるけど、Pastor Laphroaigのテネシーのベルトについては話題にしないでおこう。 ブラウザ内でLinuxは既に存在してるし、PDFでJSが実行できるなら、PDF内にLinux.jsを入れればOKだね。JSはリスクをもたらすよ。 やっとJSでインテリジェントなLLMが作れるようになったね。実際に実用化されるまでの道のりは長いけど。 見出しに抜けてるけど、これはRISC-V VMだよ。 VMだって!?PDF内でハイパーバイザーを動かせるのか!?proxmox.pdfなんてどう? フィードの下にこのコメントがあった:>『PDFを取り込むこととGemini 2.0が全てを変える理由』怖がってくれ。とても怖がってくれ。 Doom動くんか? はい、だよ。https://www.reddit.com/r/Damnthatsinteresting/comments/1i268… 親がDoomをPDF内で動かすって聞いてるけど、今はDoomがPDF内で動いてるって話だよ。 DoomはもうPDF内で動いてるよ!情報源はこちらだよ:https://github.com/ading2210/doompdf それより、Doom Emacsは動くのか? viは動くよ! できるからって、やるべきってわけじゃないよ… もちろんやるべきだよ。好奇心を満たして探求すべきさ。『真剣』な目的に使うのは良くないけど、こういうのがコンピュータの素晴らしさを作ってるんだ。 これがコンピュータの素晴らしさだなんて言うの?もっと知識を深めるために有意義に時間を使えないのか? それは比較になってないんじゃない?Junk hyperboleで強い主張にはならないよ。これが価値のあることだって言いたいの?PDFでのBitcoinマイニングが重要なの? 合理的じゃないの?癌を治すのは崇高な使命で、他の人が何に時間を使うか判断する権利があるの?みんなの価値観は主観的かもしれない。PDFがJavaScriptを実行できることを広めて、セキュリティの大切さに気づいてもらうのは有益だよ。人は皆が生産的なことだけに時間を使うわけじゃないし、他の人が面白いと思うことを作る人もいる。あなたにとって他人の自由な時間の使い方がなんでそんなに気になるの? この“動的PDF”は本来のPDFの意味を完全に否定してる。静的なオブジェクトのはずなのに、実際にはウェブページになってる。これじゃ規制もわからないし、ただのメッセージしか見えないよ。これらは本当に最悪で、アクセシビリティも失われている。 文書自体にChromiumベースのブラウザでのみ動作すると書いてある。 確かにそう書いてあるけど、ヘッドラインはそうじゃないよ。『PDFの中のX』じゃなくて『ChromiumのPDFの中のX』ってすべきじゃない? 何の機能がChromeでは動いて、Evinceでは動かないの? OSをホスティングするような狂った機能だよ。 Googleには便利な機能だけど、一般にはあまり関係ないかもね。 長いことノースクリプトのPDFリーダーを更新してないなぁ…もうすぐ嫌なアップデートが来るんだけど:mupdf。 >このPDFはChromium系のブラウザでしか動かないよ。 面白いね、これ。 MS Wordで開けるし、たぶん印刷もできるよ、ただの1ページだけどね。 好みは人それぞれだけど、これはマジで微妙。素晴らしい技術なのに、見た目がひどすぎる。 次はGPTをPDFで使えるようになるの? これをGeminiに取り込んで! Sumatraみたいな良いPDFリーダーをPDFで持ち運べるようにして欲しいな。制限されたPCでも使える良いリーダーがあれば最高! Adobe ReaderでPDFを開くつもり?そうしたら、画面に強制的に表示されるAIアシスタントが邪魔で、クリーンなビューが得られないよ。シンプルで軽量なPDFリーダーの夢は残念ながら無理かも。 クラシックなAdobe Reader(非DC版)がまだアップデートされてるって! AIアシスタントって、今の世代にとってはClippyみたいなもんだね。 ほとんどのブラウザはPDFを開けるけど、大きな文書を素早く検索できるわけじゃないよね。 いいPDFリーダーを探してるなら、Adobe Readerは選ばないだろうな。 確かに、無料で使えるベストな代替って何なの?お金払う気はないから真剣に教えてほしい。 PDFに詳しくないけど、OkularかブラウザのPDFリーダーで十分。デスクトップで読むのとちょっとしたフォーム記入には満足してる。AndroidではmuPDF使ってる。 何かを作るには手間がかかるし、時間に対して報酬を得るべきじゃない? 後からお願いされて、その場合の報酬は自分の判断次第じゃないかな。 Mac使ってた時は、Built-in Previewで十分だったよ。 Adobe Flashと同じ運命になると思ってた。 今でも政府関連で生き残ってる。インタラクティブな機能のサポートはあんまりよくないけど。 偶然にチューリング完全? AdobeのPDFリーダーはほんとにひどい。企画室にいたらこの製品をボロクソに言いたいくらい。でも、億ドル規模の成功したソフトウェア会社を運営してるわけじゃないから、何も知ったこっちゃないけど。 PDFは真のユニバーサルアプリプラットフォーム。Microsoftには内緒にしてくれ。もっとコメントを表示(1)
gs <br> -dNOPAUSE <br> -sDEVICE=pdfwrite <br> -sOUTPUTFILE=clean.pdf <br> -dBATCH <br> dirty.pdfもっとコメントを表示(2)
もっとコメントを表示(3)
