Dokumenter i PDF-format kan indeholde skadelig kode som afvikles automatisk når filen åbnes i læseprogrammet Acrobat Reader. Fejlen i PDF-formatet er afsløret af internet-projektet Month of Apple Bugs. Afhængig af, hvilket læseprogram og operativsystem der benyttes, kan man risikere at manipulerede PDF-dokumenter udløser et nedbrud eller ligefrem planter skadelig kode på systemet.
Problemet skulle ligge i den såkaldte »Catalog Dictionary«, som er en form for indholdsfortegnelse over alle objekter og data i dokumentet. Men PDF-specifikationen fortæller ikke, hvordan læseprogrammet skal reagere, hvis denne indholdsfortegnelse rummer fejlagtige henvisninger. Ved at indsætte manipuleret kode kan man udløse en såkaldt buffer overflow i programmet, hvor kode »flyder over« i et område af hukommelsen, der ikke er beskyttet.
Fejlen findes i Adobe Acrobat Reader 5.0 til 7.0 på alle platforme, Preview.app 3.0.8 under Mac OS X og xpdf 3.0.1.
Det anbefales at skifte til den nyeste version af Acrobat Reader, 8.0, hvor fejlen skulle være rettet. Faktisk er der endnu en grund til at opgradere til version 8.0, for i sidste uge blev der opdaget en cross-site-scripting sårbarhed i den gamle version.
Det er dog ikke er en svaghed i PDF, men derimod et problem, der kan opstå i alle tilfælde, hvor en bruger klikker på et manipuleret link til en PDF-fil på nettet. Svagheden kan gøre det muligt at foretage cross-site scripting og sprede tilfældige Javascripts via en browser.
I næste uge vil Adobe også udsende opdateringer, som vil løse cross site scripting problemet, til de tidligere versioner af Adobe Reader og Acrobat.
