Dziura w rozszerzeniu Adobe PDF

Okazuje się, że rozszerzenie Adobe PDF dla przegladarek internetowych (instalowane zresztą razem z aplikacją Adobe) zawiera lukę pozwalającą na wykonanie dowolnego kodu JavaScript

Jedynym warunkiem jest udostępnianie przez serwis internetowy dokumentu PDF, co w konsekwencji tworzy luki UXSS (Universal Cross-Site Scripting) oraz UCSRF (Universal Cross-Site Request Forgery) niezależne w żaden sposób od kodu strony i jej samej.

Przykład:
http://www.whitehouse.gov/nsc/nss.pdf#foo=javascript:alert(document.cookie);

Do czasu opublikowania poprawki przez Adobe zaleca się wyłączenie rozszerzenia Adobe PDF w opcjach przeglądarek internetowych.

Źródło: PHP Security Blog