美國電腦安全緊急應變小組 (U.S. Computer Emergency Readiness Team，US-CERT) 日前警告，Adobe Reader 若干版本存在嚴重漏洞，遠端駭客可能利用來執行惡意程式碼，藉由該漏洞，遠端攻擊者能夠發動阻斷服務攻擊 (denial of service attack)、使應用軟體無法執行，或取得系統控制權以瀏覽帳號並竊取資訊。

該漏洞最初是在 SecurityFocus 網站上公佈。該公告中表示，攻擊者可以利用此漏洞以使用者執行該應用軟體的權限，執行任意程式碼。

對此，Adobe 做出了簡短的確認。該公司安全計畫經理 David Lenoe 表示，Adobe 得知 Adobe Reader 9.1 與 8.1.4 中潛在漏洞的報告，他們目前正在進行調查。儘管 Adobe 表示計畫對 Windows、Mac 與 Unix 上的所有受影響版本，提供安全更新以解決此事，但目前尚未有明確時程。此外，該公司補充說，目前並無因為該漏洞而遭受攻擊的消息傳出。

根據 SecurityFocus，Linux 上的 Adobe Reader 8.1.4 和 9.1 存有此漏洞。而 Windows 和  Mac 上的版本也可能存有漏洞。

而根據 US-CERT 的報告，該漏洞是由 getAnnots 這個 JavaScript 函數中的錯誤所造成。為了減輕其影響，US-CERT 建議使用者關閉 Adobe Reader 的 JavaScript 功能。使用者可以透過編輯 (Edit) 的偏好設定 (Preferences)，選擇 JavaScript 類別，將啟動 Acrobat JavaScript (Enable Acrobat JavaScript) 的項目取消勾選。

這次的安全報告令人回想起 3 月時，Adobe 曾發佈針對 Adobe Reader 9、Acrobat Reader 9  與早期版本中的一項跨平台漏洞。當時攻擊者已經利用該漏洞至少 6 週之久。該公司從 3 月 10 日起針對 Reader 9 發佈修補程式，並以為期 1 週的間隔，陸續修補 Reader 8 與更早期的版本。

nCircle Network Security 安全作業總監 Andrew Storms 指出，這次的事件跟 2 月那次非常相似。當時一連串爆發出許多 JavaScript 上的問題，現在我們看到的好像又是 JavaScript 漏洞。

在日前舉辦的 RSA 安全會議上，F-Secure 的首席研究者 Mikko Hypponen 表示，網際網路使用者應該改用替代性的 PDF 閱讀軟體。PDFReaders.org 網站上提供了相關的軟體清單。

Storms 不願指出可能的替代方案，他說，Adobe 產品線的確是為企業而設計，其他產品或許很難替代。不過，當 Adobe 產品一下子出了這麼多狀況，用戶必須問問自己，是否值得支持 Adobe？

Adobe 上次坦承產品漏洞前，已先一步發現相關攻擊事件的 Symantec，針對其 honey pot 網路是否已經發現利用這次的新漏洞的 PDF 檔案，則並未立即回應。

相關網址：
1.Adobe Reader 被發現有嚴重 JavaScript 漏洞
2.另一項 Adobe Reader 安全漏洞
3.新漏洞瞄準 Adobe Reader