Британская компания NGSSoftware выпустила предупреждение об обнаружении опасной уязвимости в пятой версии пакета Adobe Acrobat Reader, cообщает "Компьюлента". Ошибка связана с возникновением ошибки переполнения буфера при обработке файлов, содержащих XML-формы (файлы .xfdf). В NGSSoftware считают, что уязвимость представляет большой риск для пользователей. Особенно опасно то, что в большинстве случаев такие файлы без предупреждения открываются в окне браузера после загрузки их из интернета. Файлу даже не обязательно иметь расширение .xfdf, главное, чтобы тип MIME имел значение application/vnd.adobe.xfdf. В этом случае браузерный плагин Acrobat Reader откроет файл. В результате, для проведения успешной атаки злоумышленнику необходимо разместить особым образом сформированный файл в формате .xfdf на своем сайте и заманить туда пользователя. Впрочем, последняя версия программы для чтения файлов PDF - Adobe Reader 6.0 - не содержит данной уязвимости. Патчей для Acrobat Reader 5, скорее всего, выпускаться не будет, и NGSSoftware рекомендует всем ее пользователям обновиться до шестой версии.
Подробности - http://www.nextgenss.com/advisories/adobexfdf.txt