> собственно, оно даже не pdf как таковой подпихивает, object с нужным content-type, Ну да. Главное чтобы левый код выполнился.
> потом ловит активацию PDF.js (вот тут без PDF.js пункт 2 и обламывается),
На самом деле он должен бы обломаться раньше, из-за uBlock, который 99% JS просто давит еще на подлете. Но вообще - довольно стремный баг. Так, глядя на то какие экспонаты раздают.
> выполняли PDF.js в правильно созданой песочнице…
Ну для начала "выполнять пдф" звучит довольно странно.
> разве может что‐нибудь пойти не так?»
Действительно. Валидация входных данных? Разделение привилегий? Гадские хипстеры не слышали. Они вообще привыкли что рантайм - безопасный. И подумает за них. Вон тут Xasd меня опять лечить пытается.
> я не разбирался детально, но Суть(tm) эксплойта именно в этом.
Как я понял - он вообще по вилдкардам ищет интересные файлы по всей ФС и гребет лопатой на свой сервак все что минимально интересно. Ну там логины и пароли от ряда программ, а также просто файлы с типовыми названиями от Капитана Очевидность.
Таргетируется оно в основном на технарей и разработчиков, админов, кулхаксоров, кардеров и прочая. Ну то-есть вон та штука на наге - явно не любителями котят интересуется. И даже не их аккаунтами вконтактика и фэйсбучика.
> и зачем‐то доступным API на смену location.
По большому счету имхо там факапнуто вообще все. ПДФ в массе своей "пассивные" данные. Зачем их преобразоывать в код и выполнять - я вообще не понял. Еще менее я понял зачем все это должно быть на JS и в браузере. И еще менее понятно зачем пдфнику уметь вообще хоть что-то кроме как отображаться на экран. В следующий раз мозилла сопрет у меня все файлы когда я открою JPG, который им припрет в JS перегнать?