Tegnap gyorsan bejárta az internetes szaksajtót a hír, hogy veszélyes biztonsági rést fedeztek fel az Adobe PDF-olvasójának böngészőpluginjében. A sebezhetőséget egy IT-biztonsági konferencián ismertette két szakértő, Stefano Di Paola és Giorgio Fedon, akik már októberben tájékoztatták a fejlesztő céget a lyukról. Nem véletlen, hogy az azóta kiadott Adobe Reader 8-ban az már nem található meg, de mivel még ma is sokan használják a szoftver korábbi verzióit, nem okafogyott a figyelmeztetés. Még akkor sem, ha a leggyakoribb böngésző, az Internet Explorer legújabb verziójában nem, csupán a 6-os vagy annál korábbi változatokban, valamint a Firefoxban és Operában használható ki a hiba.

Az erre épülő ún. cross-site scripting (XSS) támadáshoz csupán egy rosszindulatú JavaScript programot kell megírni, majd azt egy PDF-dokumentumra mutató link paraméterei között meg kell adni. Az Adobe Reader ugyanis az URL-ben elhelyezett paraméterekkel vezérelhető – például meghatározható, hogy milyen formában jelenjen meg a fájl –, és mint kiderült: a paraméterként megadott szkript a böngészőben automatikusan lefut. Mivel egy megbízható webhelyre mutató linket is lehet ilyen módon módosítani, a felhasználó gyanakvása is elaltatható. Egy ilyen támadással nem csupán cookie-kat és böngészési információkat lehet megszerezni, de akár férgek is futtathatók.

Az Adobe azt javasolja a felhasználóknak, hogy frissítsék az Adobe Readert a legújabb, 8-as változatra. A vállalat egyben ígéretet tett arra, hogy a korábbi verziókban patchekkel betömi a rést.