PDF の設計を利用し、任意のコードを実行する方法公表される 30
んで、うっかり公開設定にしちゃったりな 部門より
ある Anonymous Coward 曰く、
PDF の設計上の機能を利用し、コードを実行する方法が報告されているそうだ (ITmedia エンタープライズの記事、本家 /. 記事より) 。
これは PDF や閲覧ソフトの脆弱性を突くものではなく、PDF に搭載されている「コードやプログラムを実行できる機能」を悪用したものであり、PDF ファイルを開いただけでコードを実行させることも可能という。Adobe Reader ではコードが実行される際に警告メッセージが表示されるが、このメッセージも改ざんすることが可能とのこと。また、Foxit のように警告メッセージなしにコードが実行される PDF リーダーもあるとのことで注意が必要という。
コンセプト実証 (Proof of Concept) コードはリリースされていないとのこと。また、現時点での対策として PDF ファイルは Google Docs などリモートで開いた方がよいとのことだ。