Publik gemacht wurde diese von Stefano di Paola und Giorgio Fedon auf einer Konferenz des Chaos Computer Club (CCC) zwischen den Jahren. Ein Feature des Adobe Reader namens "Open Parameters" erlaubt es, clientseitig beliebigen JavaScript-Code auszuführen. Dies ist prinzipiell mit jeder Website machbar, auf der eine PDF-Datei gehostet wird. "Es ist atemberaubend, wie einfach sich diese Schwachstelle ausnutzen lässt", warnt Hon Lau im Security Response Weblog von Symantec.

Adobe hat versprochen, für die noch weit verbreiteten Versionen 6 und 7 des Readers so schnell wie möglich Patches zu entwickeln. Alternativ können Anwender auch die neue Version 8 des Adobe Reader einspielen, die nicht betroffen ist.

Di Paola und Fedon warnten bei der CCC-Veranstaltung darüber hinaus generell, typische Web-2.0-Applikationen - etwa G(oogle)mail oder Google Maps, die beide AJAX (Asynchronous JavaScript and XML) verwenden - müssten enger mit den Sicherheitsfunktionen von Web-Browsern verzahnt werden. Andernfalls könne die Vielfalt von Funktionen in diesen Anwendungen "von einem böswilligen Hacker in Waffen verwandelt werden", schreiben sie. (tc)