<div dir="ltr"><div>Hi</div><div><br></div><div>I think from time to time we should discuss on this list problems in the world of PDF. Below are three news items, with details and links in the Appendix.</div><div><br></div><div>1. NumPy produces HTML and PDF documentation. It's considering dropping PDF due to problems in maintaining and fixing production problems in the PDF version.</div><div><br></div><div>2. Automation of discovery of Word and Acrobat bugs.</div><div><br></div><div>3. PDF being used as a vector for malicious Word documents.</div><div><br></div><div>Happy TeXing</div><div><br></div><div>Jonathan</div><div><br></div><div>APPENDIX.</div><div><br></div><div>1. NumPy dropping PDF</div><div><br></div><div><a href="https://mail.python.org/archives/list/numpy-discussion@python.org/thread/CCTBM3GONFQWM3DUZRBBT3YYGKXGGPLT/">https://mail.python.org/archives/list/numpy-discussion@python.org/thread/CCTBM3GONFQWM3DUZRBBT3YYGKXGGPLT/</a><br></div><div><br></div><div>I think this is the most important issue for us. First, it affects technical documentation, and so affects many in the core community of LaTeX users. Second, it is something we have responsibility for. Third, it's something we can do something about. And finally, it will make TeX/LaTeX more relevant to early career developers.</div><div><br></div><div>The problem seems to be that the PDF build isn't working well in Continuous Integration, and the output isn't that useful. I'm intending to open a discussion of this on the texlive list. Here's a couple of further related URLs.</div><div><br></div><div><a href="https://github.com/numpy/numpy/issues/21557#issuecomment-1133920412">https://github.com/numpy/numpy/issues/21557#issuecomment-1133920412</a><br></div><div><a href="https://github.com/scipy/scipy/issues/15635">https://github.com/scipy/scipy/issues/15635</a><br></div><div><br></div><div>And finally, it's important because at TUG 2022 Carlos Evia will give a keynote on the future of technical documentation.</div><div><br></div><div>2. Automated discovery of Word and Acrobat bugs</div><div><br></div><div><a href="https://www.theregister.com/2022/05/13/cooperative_mutation_flaw_finder/">https://www.theregister.com/2022/05/13/cooperative_mutation_flaw_finder/</a><br></div><div>Researchers have automated the discovery of Word and Acrobat bugs, netting $22,000 of bug bounties and 32 CVE entries, two of which are 8.8/10. The discovery tool is written in Python.</div><div><br></div><div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Speaking at the Black Hat Asia conference in Singapore, PhD student Xu Peng of the Chinese Academy of Sciences – one of the tool's co-authors – explained that the likes of Word and Acrobat accept input from scripting languages. Acrobat, for example, allows JavaScript to manipulate PDF files.</blockquote><br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Making that happen requires the PDF both to define native PDF objects and to parse JavaScript code. The native objects are processed by Acrobat modules, and an embedded JavaScript engine handles the scripts. A "binding layer" does the translation.</blockquote></div><div><br></div><div>3. PDF being used as vector for malicious Word document</div><div><br></div><a href="https://www.theregister.com/2022/05/24/hp-pdf-phishing-malware/">https://www.theregister.com/2022/05/24/hp-pdf-phishing-malware/</a><div>HP cybersecurity have discovered that PDFs are being used as a vector for a malicious Word document. </div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">A perfect example is a PDF document. The … PDF is a document type that people trust. That's because the public's perception is that it is a secure document that can't be manipulated. After all, that's why you issue an invoice as a PDF file and not a Word document. Unfortunately, the trust that users have in PDFs as a 'safe' document is false.</blockquote><div><br></div><div>For what it's worth, at the foundation is "a code-execution vulnerability in Microsoft Equation Editor".</div><div><br></div><div>[END]<br><div><br></div></div></div>