Didier Stevens adlı bir güvenlik uzmanı PDF dosyaları görüntüleyen en popüler iki uygulamayı kullanarak, zararlı yazılım çalıştırmanın bir yolunu buldu. Üstelik bu zararlı yazılım, PDF okuyucu araçların herhangi bir güvenlik açığını kullanmadığı için tehlike farklı bir boyutta karşımıza çıkıyor.
Stevens'ın yaptığı açıklamaya göre, PDF dosyaları içerisine zararlı kod yerleştirmek mümkün. Her ne kadar Adobe Acrobat Reader ve Foxit Reader, PDF dosyaları içerisine gömülmüş uygulama dosyalarının çalışmasına izin vermese de, Stevens bu önlemi geçmenin bir yolunu bulmuş durumda.
Peki Adobe bu işe ne diyor?
Acrobat Reader, bu tip durumlarda kullanıcıya bir uyarı mesajı göstererek PDF içerisinde bir uygulamanın çalışmak için izin istediğini ama bunun tehlikeli olduğunu belirtiyor. Stevens bu uyarı mesajının istendiği gibi değiştirilerek kullanıcının uygulamayı çalıştırması için kandırılabileceğini söylüyor. Foxit Reader ise bir uyarı mesajı göstermiyor ama normal şartlar da gömülü uygulamaları da çalıştırmıyor. Stevens bu güvenlik önlemeni geçerek, örnek olarak zararsız bir hesap makinesi uygulamasını her iki okuyucu da çalıştırmayı başardı.
Stevens her iki firmaya da konuyla ilgili bilgi verdiğini, Adobe'den henüz yanıt gelmediğini ama Foxit'in hafta içinde sorunu çözeceğini açıkladığını belirtti.