XPS 문서는 얼마나 안전합니까?

Question

XPS 문서는 얼마나 안전합니까? 안쪽에서 본 후 XPS 문서, 유니 코드 스트링 속성을 발견했습니다. 누군가가 유니 코드 문자열 속성에 스크립트를 주입 할 수 있습니까?

XPS 뷰어는 유니 코드 문자열 속성을 어떻게 처리합니까? 글리프 컬렉션으로서 무엇입니까?

업데이트: 다음 문자열을 unicodetext로 추가했습니다

!@#$%^&*()_+ 

XPS 뷰어는 파일 열기를 거부했습니다. 이것이이 질문이 내 마음에 들어온 방법입니다

Answer 1

XPS 문서와는 반대로 (기침) 다른 형식 스크립트 또는 활성 콘텐츠를 포함 할 수 없습니다. 그들은 뿐 고 충실도 프리 프린트 형식으로 사용됩니다. 즉, XPS 파서가 보안 취약점을 포함하는 것은 완전히 불가능한 것은 아닙니다. 그리고 그들은 악용 될 수 있습니다. 지금까지 나는 그런 착취에 대해 들어 본 적이 없다.

그러나 당신의 요점으로 돌아갑니다. 누군가 XPS 문서에 문자열에 스크립트를 넣고 싶다면 반드시 그렇게 할 수 있습니다. 그는 단지 그것이 실행되기를 기대해서는 안됩니다. 실제로 일부 소프트웨어 인 경우 하다 그렇다면 파일 형식이 아닌 소프트웨어의 보안 문제 일 수 있습니다.

텍스트 파일 (iloveyou.vbs를 기억하십시오)에 맬웨어를 넣을 수 있기 때문에 텍스트 파일 자체가 보안 취약점이 있다는 의미는 아닙니다. :-)

ETA : 문제의 Unicodestring 속성은 XPS 파일 내부에서 검색하는 AIDS를 사용합니다.

Unicodestring 속성은 현재 요소로 표시되는 유니 코드 스칼라 값의 배열을 보유합니다. 검색, 선택 및 접근성을 지원하므로 유니 코드 문자열을 지정하는 것이 좋습니다.

그리고 문자열 자체는 특정 형식 (115 페이지의 표준에도 자세히 설명되어 있음)이 될 것으로 예상되지만, 뷰어가 입력을 수락하고 싶지 않은 이유는 앰퍼 랜드 이후에 잘 형성된 XML이 아니기 때문입니다.&) 에스코지가없는 것처럼 보입니다. 나는 당신이 앰퍼와 & XML에 의해 요구됩니다. 사양은 또한 그것을 나타냅니다

표준 XML 이스케이프 메커니즘은 XML 보존 문자를 지정하는 데 사용됩니다.

그러나 그 자체로도, 단일 조정 속성과 문서의 다른 부분 사이의 관계는 매우 복잡합니다. 그들은 그에 대한 절반 이상을 썼고 어떤 조합이 유효하고 그렇지 않은지. 그래서 나는 당신이 더 이상 놀기 전에 먼저 그것을 읽는 것이 좋습니다 :-)

Answer 2

XPS 1.0 사양의 p.95 : "표준 XML 이스케이프 메커니즘은 XML 보존 문자를 지정하는 데 사용됩니다."

'&'는 문제를 일으킬 수 있습니다.