Adobe Reader现跨站漏洞

gatorade

安全专家发现Adobe Reader存在一个漏洞，不过程度不算危急。SANS网络风暴中心称，这个漏洞使用户暴露于跨站点scripting攻击之下，在这类攻击中，一些恶意的代码可能被隐藏在受信任内容之下。

一个攻击者可能会探测到这个漏洞，并在可靠站点下载的PDF文档中添加邮件信息或一些指向恶意网站的链接，甚至还可以添加一段JavaScript代码，当用户点击链接或者是打开PDF文档的时候运行。

Adobe Reader有一个“open参数”，用户下载并执行PDF文件之后就可以运行某些代码，初衷是用来显示某些信息，却成了攻击者可以利用的漏洞。Symantec的一位安全专家说：“和很多东西一样，本是好意的设计，一些人却将它用来干坏事。”

SANS建议用户用禁止JavaScript脚本的办法来防止这个漏洞，Adobe尚未对此事发表任何评论。虽然很多人都不用Adobe Reader而是采用其他更小巧绿色的阅读软件，因为种类繁杂无法验证，但是同样的漏洞也可能存在于某些阅读器中。