Уязвимость, обнаруженная в Adobe Reader специалистами McAfee, не относится к разряду серьезных и не позволяет запустить на компьютере вредоносный код, но из-за нее автор PDF-документа может незаметно для пользователя узнавать, где и когда документ был открыт.
Документы в формате PDF могут содержать в себе код на языке JavaScript и получать с помощью вызовов соответствующих функций программного интерфейса доступ к ресурсам на других компьютерах. Как правило, Adobe Reader запрашивает разрешение пользователя на это действие. Но, как оказалось, если вызвать функцию с определенным значением параметра, Adobe Reader не покажет никакого предупреждения. Хотя это произойдет только в том случае, если по указанному адресу запрашиваемого ресурса не существует, связь с чужим компьютером будет установлена, и он получит некоторую информацию о системе пользователя - например, IP-адрес. Анализ показал, что и другие функции JavaScript могут собирать данные о системе.
Специалисты McAfee нашли примеры использования этой уязвимости одной компанией, предоставляющей услуги "слежения за электронной почтой". До выпуска исправления они рекомендуют отключить JavaScript в Adobe Reader.
Ссылки по теме