https://opennet.dev/openforum/vsluhforumID3/111734.html В поставляемом в составе GNOME просмотрщике документов Evince (https://wiki.gnome.org/Apps/Evince) выявлена уязвимость (https://bugzilla.gnome.org/show_bug.cgi?id=784630) (CVE-2017-1000083 (https://security-tracker.debian.org/tracker/CVE-2017-1000083)), которая может привести к выполнению кода злоумышленника при открытии специально оформленного файла в формате CBT (используется для комиксов). Проблема вызвана ошибкой в реализации обработчика comic book, входящего в состав evince. Уязвимость также проявляется (https://github.com/mate-desktop/atril/blob/master/backend/comics/comics-document.c#L110) в Atril (форк Evince, развиваемый проектом MATE) и Xreader (форк Atril от проекта Linux Mint).<br><br><br>Особую опасность представляет то, что уязвимость может быть эксплуатирована без явного открытия файлов пользователем - в процессе автоматического построения пиктограмм с эскизами для новых файлов, т.е. для эксплуатации достаточно просмотреть список файлов в файловом менеджере или вставить носитель. Более того, можно о https://opennet.dev/openforum/vsluhforumID3/111734.html#62 Tue, 18 Jul 2017 07:23:51 GMT tar ... &lt; inputfile &gt; outputfile<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#61 Mon, 17 Jul 2017 20:45:37 GMT 2017й год на дворе, а в винде обновление офисного пакета требует перезагрузки всей системы. И эти люди потом ещё катят бочку на Линукс...<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#60 Sun, 16 Jul 2017 16:08:46 GMT Никто не запрещает форкать же.<br><br>Да и этих плееров/плееров-обёрток &#8211; хоть пруд пруди, но действительно качественных &#8211; не напасёшься.<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#59 Sun, 16 Jul 2017 14:38:22 GMT Хм, а я в гноме пользуюсь qpdfview, evince тормоз.<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#58 Sun, 16 Jul 2017 14:00:32 GMT #&gt;&gt;вместо либ, если такие есть для языка, профнепригодны.<br>&gt; Все программисты, считающие, что нельзя в программах использовать консольные утилиты, <br>&gt; вчерашние или сегодняшние виндуzятники. А в юниксах это такой же нормальный <br>&gt; способ повторного использование кода, как и линковка с библиотеками, и все <br>&gt; юниксовые IPC как раз под это заточены.<br><br>...точн, слыхал я тех погромистов - про ""удобство"" libsystemd0 и неосиляние /bin/bash. И про профнепригодность и "вон из профессии". Не буду погромистом!<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#57 Sun, 16 Jul 2017 12:12:22 GMT Все программисты, считающие, что нельзя в программах использовать консольные утилиты, вчерашние или сегодняшние виндуzятники. А в юниксах это такой же нормальный способ повторного использование кода, как и линковка с библиотеками, и все юниксовые IPC как раз под это заточены.<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#56 Sun, 16 Jul 2017 08:49:06 GMT все программисты, использующие консольные утилиты вместо либ, если такие есть для языка, профнепригодны.<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#55 Sun, 16 Jul 2017 06:47:54 GMT Не-не, не надо портить smplayer! Пусть своё напишет.<br> https://opennet.dev/openforum/vsluhforumID3/111734.html#54 Sun, 16 Jul 2017 01:42:39 GMT Склепал proof of concept. Действительно работает. Достаточно взять валидный jpg, дать ему указанное в новости имя и запаковать в tar с именем, заканчивающимся на .cbr.<br>