Pánové Stefano Di Paola a Giorgio Fedon objevili nepříjemnou chybu v Adobe Readeru, která umožňuje s pomocí pluginu v prohlížeči propašovat k uživateli cizí JavaScript kód. Problém je ve špatném vstupu, který nedostatečně ošetřuje data předávána mezi pluginem a prohlížečem.
Stačí tak použít jednoduchou syntaxi: http://[host]/[filename].pdf#test=javascript a kód bude spuštěn v kontextu stránky, na které je hostován uvedený PDF soubor. Útočník samozřejmě nemusí mít k souboru právo zápisu.
Chyba byla potvrzena v Adobe Readeru verzi 6.0.1 pro Internet Explorer 6 a verzi 7.0.8 a Firefox 2.0.0.1. Ohroženy mohou být ale i další verze. Řešením je upgrade na Adobe Reader verze 8.