Adobe ha reso noto gravi vulnerabilità di sicurezza nel plug-in di Adobe Reader: si tratta del rischio di attacchi cross-site scripting (XSS, un tipo di vulnerabilità per la sicurezza del computer). Qualsiasi web server che ospita un file PDF è soggetto ad attacco XSS. L’attivazione del bug sembra essere molto semplice secondo quanto reso noto da Websense Security Labs: «I cybercriminali possono sfruttare questa vulnerabilità, aggiungendo il JavaScript maligno a qualsiasi href PDF, come link diretto o iframe».
Il problema riguarda la versione Adobe Reader 7.0.8 e quelle precedenti. Gli utenti hanno la possibilità di proteggersi o disattivando dal proprio browser l’esecuzione dei JavaScript o aggiornando la propria versione di Acrobat Reader con la 8 (dove non è presente nessuna vulnerabilità). Firefox (1.x e 2.x) è interessato da tale situazione mentre Internet Explorer 6 è vulnerabile solo se è utilizzato insieme ad Adobe Reader 6.x.
Le azioni che possono essere commesse riguardano principalmente attacchi di phishing (ossia ottenere l’accesso a informazioni personali come, per esempio il codice fiscale, con la finalità di effettuare furti di identità) o lo sviluppo di siti social network (siti connessi tra loro da diversi legami sociali). Adobe fornisce maggiori informazioni sul proprio sito.
