Стандартная утилита для чтения PDF-файлов в Arch Linux была модифицирована с целью загрузки вредоносных скриптов. Ситуацию быстро обнаружили и устранили. А вот мысли для размышления остались.
Утилита не обновлялась несколько лет. Злоумышленники решили воспользоваться этим и модифицировали в ней пакет acroread, а заодно еще несколько пакетов. Ситуацию быстро обнаружили, исправили ее и восстановили исходное состояние пакетов. Учетную запись xeactor, через которую могло осуществляться заражение, заблокировали.
С одной стороны, похвально, что разработчики Arch Linux быстро реагируют на проблемы безопасности и развивают свое детище. С другой стороны, возникает вопрос, насколько надежны приложения, которые перестали обновляться. Если приложение не обновляется, то это не значит, что оно идеально и в нем нечего улучшить, а означает скорее, что авторы «забили» на его развитие. Что лучше в такой ситуации, менять приложение на стороннее, которое тоже может быть уязвимо или оставаться на приложении, «застывшем» в своем совершенстве?