Acrobat Reader缺陷触发跨站点脚本攻击

　　CNET科技资讯网 1月4日国际报道 Acrobat Reader软件中的一个安全缺陷对于网络诈骗犯罪分子而言可能是个福音。

　　赛门铁克和VeriSign iDefense表示，Acrobat Reader浏览器插件中的一个错误使网络诈骗犯罪分子指定一个托管有恶意Adobe PDF文件的网站的地址。

　　犯罪分子可以构造一个似乎是值得信赖的链接，并增添在链接被点击后就会运行的恶意JavaScript代码。

　　VeriSign iDefense快速响应团队的主管敦汉姆说，例如，犯罪分子可以在一个空白网站上找到一个PDF文件，然后创建指向该文件和恶意JavaScript代码的链接。

　　敦汉姆表示，这一缺陷使得系统可能出现跨站点脚本(XSS)攻击，窃取cookie、对话信息，甚至黑客可能开发XSS蠕虫。

　　赛门铁克表示，Adobe软件中的这一缺陷可能会刺激XSS攻击的增长。过去，这类攻击都需要利用网站中的安全缺陷，Adobe Reader中的这一缺陷首次使得客户端应用软件成为跨站点脚本攻击的帮凶。

　　赛门铁克警告称，这一缺陷可能会极大地改变传统的跨站点脚本攻击的格局。

　　Adobe在一份电子邮件声明中说，为了减轻这种威胁，用户可以升级到上个月发布的Adobe Reader 8。Adobe还表示，正在开发以前版本的Adobe Reader补丁软件。

　　赛门铁克还表示，用户还可以强制PDF文件只能在Acrobat客户端软件而不能在浏览器插件中打开。