Universal XSS with PDF files

繼 Microsoft Office 家族的 word、excel 等文件格式出現問題以來，本以為只剩下 pdf 檔可以令人安心的開啟，但想不到現在連 pdf 也出包了。

攻擊者可以在 pdf 檔中假造足以亂真的信賴連結，一旦點入連結就會啟動惡意JavaScript程式碼（XSS）。 之所以有此一安全問題是因為Acrobat Reader的瀏覽器外掛程式可允許連結至PDF檔案的程式能加掛JavaScript，好讓連結一旦被點選後就能開始執行。（WhiteHat Security技術長Jeremiah Grossman表示。）

解決方法（任一皆可）：

1. 不要開啟瀏覽器的 pdf 外掛，所有 pdf 一律另存下載回電腦再開。


2. 升級至 Acrobat Reader 8


3. 改用 Foxit Reader

細節：

• Universal XSS with PDF files: highly dangerous


• Taiwan.CNET:Acrobat漏洞可能引發Web攻擊


• Taiwan.CNET:駭客能入侵整台電腦 PDF安全問題比預估嚴重