「ファイルを開くだけでプログラム実行の恐れ」、PDFの危険な仕様

と題して、PCオンラインが記事を書いていた。
http://pc.nikkeibp.co.jp/article/news/20100401/1024031/?set=rss

いつものAdobeのバグかと思ったら、違ったので書いてみる。
結局、この記事はF-Secureの報告を日本語にして解説したものなのだけれども、元記事である
http://www.f-secure.com/weblog/archives/00001923.html

自体の指摘がズレてる気がしてならない。

一部引用してみる

There's some crazy stuff in the PDF specs.

You can embed movies and songs. Into a PDF file. What?

PDF files can contain 3D objects, complete with embedded JavaScript? Who comes up with these things?

PDFs can have forms. That's fine. But why do we need functionality where such forms can submit the data you input directly to a server somewhere on the net?

There's a function within PDF specs to launch executables. Or to run JavaScript. Why do we need these things?

適当訳

PDFの仕様が狂気だ。
動画とか音楽をPDFで使うか？
3Dオブジェクトも、JavaScriptも入力フォームのオンライン送信機能も、使わないじゃん!

で、外部の実行ファイルを呼び出す仕様もあるんだけど、たとえばFoxit Readerだとユーザに確認しないで実行しちゃうよ！という内容。

でも、実行ファイルを"確認なし"で実行しろっていう仕様じゃないし、実際AdobeReaderはユーザに確認するみたいだし　Foxitの実装がｲｹてないだけなんじゃないか？

ファイルフォーマットとして、規定してあるだけで、リーダ側にそれを実装する際に確認を出せば、別に騒ぎ立てる問題じゃないと思うだけど。

同様にフォーマットにケチをつけるなら、もっとヤバイフォーマットは有りそうだしね。

といってもAdobeのPDF関連の脆弱性には端末管理でうんざりしているから、シンプルにしておけよ！という気持ちは同感。