Dem IT-Sicherheitsforscher Didier Stevens ist es gelungen, einen Angriff auf PDFs zu entwickeln, der ohne das Ausnutzen spezieller Lücken in der Reader-Software auskommt.
Stevens entwickelte einen Angriff, bei dem er eine ausführbare Datei in ein PDF einbettet und diese danach ausführt. Dieses Verhalten sollte eigentlich unterbunden werden. Das umgeht Stevens aber durch das Benutzen eines bestimmten Befehls zum Starten der ausführbaren Datei.

Im Falle des Adobe Reader würde das Opfer ein Popup zu sehen bekommen, in dem er gefragt wird, ob er fortfahren möchte. Allerdings läßt sich der Text des Popups manipulieren, weswegen Stevens davon ausgeht, dass die meisten Benutzer dazu gebracht werden könnten, die Nachricht einfach wegzuklicken und fortzufahren.

Stevens betont, dass der Angriff auch bei deaktiviertem JavaScript funktioniert. Auch sei es nicht möglich, einfach die Reader-Software zu patchen - diese sei ja nicht schuld an der Sicherheitslücke. Er sei lediglich "kreativ mit den Spezifizierungen der PDF-Sprache" gewesen. Der Sicherheitsexperte erklärte, er habe Adobe den Angriff demonstriert und die Firma werde möglicherweise eine Lösung für das Problem finden.

Der Angriff funktioniert nicht nur auf dem Adobe Reader, sondern auch auf anderen PDF-Readern. Im Falle des als Alternative beliebten FoxIT-Readers könnte der Angriff sogar noch effektiver sein, da dieser keine Warnmeldung anzeigt. Dabei handle es sich um eine Besonderheit des Readers, so Stevens. FoxIT gab zu, dass hier eine Sicherheitslücke existiert, und versprach einen Patch für kommende Woche.

Da die Lücke noch nicht behoben ist, hat Stevens die Details zu seinem Angriff bisher nicht veröffentlicht. Er stellte allerdings eine umfassende Dokumentation ins Netz.