Et sikkerhedshul i Adobes populære program til visning af layoutede dokumenter kan udnyttes til at afvikle vilkårlig programkode på en brugers pc.
Det oplyser sikkerhedsfirmaet Idefense, som har fundet sikkerhedshullet i Adobe Reader og Adobe Acrobat Reader til Windows.
Fejlen findes i den ActiveX-komponent, som anvendes til at åbne PDF-filer fra internettet via Microsofts webbrowser Internet Explorer.
Det er muligt at indsætte en særlig kodestump i den kommando, som åbner PDF-filen, og derved få afviklet vilkårlig programkode på brugerens system.
Sårbarheden kan udnyttes i selve linket til dokumentet, og det er ikke nødvendigt at få brugeren til at klikke på linket. I stedet kan fejlen i Adobe Reader udnyttes sammen med sårbarheder i Internet Explorer, som gør det muligt at få eksekveret kommandoen uden at involvere brugeren.
Der er dog ingen rapporter om, at sikkerhedshullet er udnyttet i praksis.
Ifølge Idefense har Adobe i stilhed forsøgt at lukke sikkerhedshullet i version 6.0.2 af Adobe Reader. Idefense oplyser dog, at sikkerhedshullet fortsat kan udnyttes til at få Adobe Reader til at gå i sort i den senest opdaterede version.
Idefense har desuden fundet to andre sårbarheder i Unix-udgaven af Adobe Reader.
Relevant link
