Closed dartraiden closed 9 years ago
The-OP
commented
9 years ago Ага, похоже поможет. Вот эта ссылка интереснее чем блог Мозиллы. Репортнувший уязвимость пишет, что эксплоиту необходим не только включенный PDF.js, но и разрешенные скрипты, и фреймы с 3rd-party домена, чтобы сработать.
Еще там же, выше по треду пишут, что это не первая уязвимость, позволяющая читать файлы через PDF.js. С другой стороны, если брать Винду, то в Acrobat Reader все равно больше уязвимостей.
dartraiden
commented
9 years ago К счастью, есть и другие PDF-читалки, если уж так необходимо читать PDF именно в браузере. Кстати, в TorBrowser pdf.js отключён, если мне не изменяет память.
The-OP
commented
9 years ago Поднял до prefs_2: 5f6ce9b.
dartraiden
commented
9 years ago The-OP
commented
9 years ago Добавил, спасибо. А баг в багзилле так и нельзя посмотреть.
Примера там нет, надо ждать, пока просмотр бага 1178058 сделают доступным для общественности. Я даже не уверен, поможет ли тут отключение PDF.js через конфиг.
Если поможет, стоит подумать, не поднять ли отключение этой штуки повыше, до prefs_2 или даже prefs_1. Не первый раз там дыры находят.