あちこちで話題になってる。
It seams that PDF documents can execute JavaScript code for no apparent reason by using the following template: http://path/to/pdf/file.pdf#whatever_name_you_want=javascript:your_code_here
だって。手元のFirefox2.0.0.1+Adobe Reader 7.0.8でも再現した。PDFが置いてあるだけでそのサーバはXSSの温床になってしまう恐れがあると。すごく影響範囲が広いよね…。
クライアント側の対策はAdobe Reader 8へアップデート。サーバ側対策としては、「"週"記」によると、以下のようなものが提案されている。ブラウザ上でReaderプラグインが自動起動させないようにすることによる対策ですかね。
<Files "*.pdf"> Header set Content-Disposition: attachment ForceType application/octet-stream </Files>