近日，英国一名安全研究人员David Kierznowski发现了存在于Adobe PDF文件格式中的漏洞，黑客可以利用PDF文件格式的合法功能在其中植入含有恶意的代码，从而在被攻击者的电脑上开启一道后门。


Kierznowski发现了存在于PDF的两处比较大的漏洞并制作了演示PDF文件，第1个漏洞看起来问题比较严重，eWEEK网站在一个打完全部安全补丁的Adobe Reader阅读器上证明了这一漏洞，黑客在制作PDF文件时可以直接加入带有恶意代码的超级链接，当这个恶意PDF文件在用户机器上打开后，目标机器的浏览器就会自动载入PDF文件中的恶意超级链接，剩下的事情想必大家也都明白怎么回事了。该漏洞的演示PDF文件可以在 这里 下载。

Kierznowski制作的第2个演示文件证明了通过Adobe Systems' ADBC (Adobe Database Connectivity)和Web Services的一种攻击情况。Kierzonwski说这一漏洞在一个即使打满全部安全补丁的Adobe Professional版本中照样能够被利用。该漏洞的演示PDF文件可以在 这里 下载。

“第二种攻击通过访问Windows本地ODBC数据源，枚举可用的数据库，然后通过Web服务向localhost发送这些信息。这种攻击可以扩展到用来进行实际的数据库查询。想象一下黑客通过你的Web浏览器访问你机器上的数据库将会是一个什么样的情形。”Kierznowski说。

Kierznowski声称在PDF文件中至少存在7个以上安全点可以被黑客所利用，他提醒大家这样一个事实--Adobe Acrobat支持"HTML表格"和"文件系统访问"。

Adobe的一名发言人称公司已经意识到了Kierzonwski的这个发现，并正在积极研究这个问题。