這一漏洞在前段時間柏林舉行的Chaos Communication Congress黑客會議上由安全研究人員Stefano Di Paola與Giorgio Fedon公布。攻擊者隻需簡單地在在線PDF的URL中添加某些代碼並使用戶點擊它就能控製Adobe Reader瀏覽器插件在客戶端執行任意的JavaScript。
這個XSS隱患是由Adobe Reader的Open Parameters功能引起的,通過這個功能可以使用URL來打開PDF文件並指定所要顯示的內容與顯示的方式。
賽門鐵克在一份安全公告中表示,因為Open Parameters功能存在於大多數版本的Adobe Reader與瀏覽器插件中,所以這次的XSS隱患可能會導致大範圍針對客戶端的攻擊。
賽門鐵克還提醒道,攻擊者可以不費什麼力氣就能利用這個XSS隱患來竊取基於Cookie的認證密文並發起其它攻擊。
目前Adobe還沒就此事作出回應。
此次的隱患會影響到Windows IE 6平台下6.0.1版本的Adobe Reader和Windows+Firefox 2.0.0.1平台下版本為7.0.8的Adobe Reader,所幸Adobe在Adobe Reader 8中已經修複了這個問題。
安全機構Secunia建議用戶盡快升級到Adobe Reader 8,但它並沒有把這個隱患看的很嚴重,隻把它列為“低危”級別。賽門鐵克在10分製的標準中,把次漏洞的嚴重等級列為6.1分。
