安全专家发现Adobe Reader存在一个漏洞,不过程度不算危急。SANS网络风暴中心称,这个漏洞使用户暴露于跨站点scripting攻击之下,在这类攻击中,一些恶意的代码可能被隐藏在受信任内容之下。
一个攻击者可能会探测到这个漏洞,并在可靠站点下载的PDF文档中添加邮件信息或一些指向恶意网站的链接,甚至还可以添加一段javascript代码,当用户点击链接或者是打开PDF文档的时候运行。
Adobe Reader有一个“open参数”,用户下载并执行PDF文件之后就可以运行某些代码,初衷是用来显示某些信息,却成了攻击者可以利用的漏洞。Symantec的一位安全专家说:“和很多东西一样,本是好意的设计,一些人却将它用来干坏事。”
SANS建议用户用禁止JavaScript脚本的办法来防止这个漏洞,Adobe尚未对此事发表任何评论。虽然很多人都不用Adobe Reader而是采用其他更小巧绿色的阅读软件,因为种类繁杂无法验证,但是同样的漏洞也可能存在于某些阅读器中。
(出处:http://www.sheup.com)