Na Chaos Communications Congressu v Berlíně dva bezpečnostní experti, Stefano Di Paola a Giorgio Fedon odhalili podrobnosti o „Cross Site Scripting“ díře v Adobe Readerech, kterou je možné zneužít i ke spuštění kódu útočníka na PC uživatele. Zranitelnost se ukrývá v Adobe Reader pluginu pro prohlížeče, přičemž se to týká šestkových verzí Adobe Readeru při použití v Internet Exploreru a sedmičkových ve Firefoxu 2.0.0.1. Nejčerstvější osmičková verze Adobe Readeru je již vůči této zranitelnosti imunní.

Cross Site Scripting zranitelnost má v tomto případě na svědomí vlastnost „Open Parameters“, díky níž je možné při prohlížení PDF dokumentu v prohlížeči přes URL odkaz přidat také parametry, která část dokumentu se má zobrazit a jak. Firma Symantec očekává, že by se mohla spustit vlna napadení uživatelských počítačů právě tímto způsobem. Zneužití díry je totiž docela jednoduché, útočník sám nemusí vyrobit žádný PDF dokument, stačí mu pouze s patřičnými parametry odkázat na dokument již existující, třeba takto:

http://path/to/pdf/file.pdf#libovolne_jmeno=javascript:zákeřný_kód

Adobe Reader plugin pak v klidu spustí onen v Javascriptu napsaný kód, který může obsahovat různé nepěknosti. Řešením je aktuálně přechod na zmíněnou osmou verzi Adobe Readeru (podle našich odhadů by také mohlo pomoci, kdyby dokumenty nebyly prohlíženy přímo v oknech internetových prohlížečů, ale až po stažení na disk a ručním otevření). Zástupce Adobe Systems Leonard Rosenthol se však zmínil, že firma již záplatu pro starší verze připravuje a bude k dispozici co nejdříve, v osmé verzi Adobe Readeru s ní prý totiž počítali, proto je imunní. Postiženy jsou prý pluginy jen pro Windowsové operační systémy, Linuxové a Macové prý nikoli.