Beveiligingsonderzoeker Billly Rios heeft een beveiligingslek in Adobe Reader onthuld dat hij drie jaar geleden al aan het bedrijf had gemeld. Aangezien Adobe het probleem nog altijd niet heeft verholpen, vond Rios het tijd om de kwetsbaarheid openbaar te maken. Via het lek is het mogelijk om cross-site scripting-aanvallen (XSS) tegen bepaalde websites uit te voeren en zo de accounts van gebruikers over te nemen.

Het probleem wordt veroorzaakt door de PDF-specificatie, die hybride bestanden toestaat. Daardoor is het mogelijk om een bestand te maken dat zowel een afbeelding als een PDF-bestand is. Daarvoor wordt de PDF-header na de header van het andere bestandstype geplaatst. Een aanvaller zou dit hybride bestand naar een website kunnen uploaden.

Aanval
Zodra een slachtoffer dit bestand al dan niet bewust opent, wat bijvoorbeeld via een drive-by download kan, is het mogelijk om het PDF-bestand via JavaScript en een ingebouwde API een URL aan te laten roepen. Hierdoor wordt de browser doorgestuurd naar het domein waarop de aanvaller cross-site scripting wil uitvoeren.

Vervolgens is het mogelijk om cookies te stelen en kan de aanvaller zich als de ingelogde gebruiker authenticeren. Rios maakte een proof-of-concept exploit om het lek te bewijzen.

De onderzoeker verwacht niet dat zeer geavanceerde aanvallers deze kwetsbaarheid zullen misbruiken, maar stelt wel dat er voldoende websites zijn die op deze manier kunnen worden aangevallen. Mogelijk zijn ook andere PDF-lezers kwetsbaar voor de aanval. Rios laat weten dat Google het probleem in de in Chrome ingebouwde PDF-lezer wel heeft opgelost.