Ejecutamos clamav en todos nuestros archivos subidos por usuarios. Actualmente está dando este mensaje para varios archivos PDF:
<filename...>: Pdf.Exploit.CVE_2014_8449 FOUND
Mirando el CVE, es para un desbordamiento de entero en Acrobat. Entonces, ¿qué significa que un PDF coincida con una definición de firma para él? ¿Ha detectado ClamAV el código real que se ejecutaría como resultado del desbordamiento, o podría ser un falso positivo? ¿Cómo lo diría?
Si de hecho hay códigos maliciosos en estos PDF, nos gustaría dejar de servirlos e informar a los usuarios. Pero sería bueno saber si estos son solo un montón de falsos positivos.