Ett säkerhetshål har upptäckts i Adobes insticksmodul (plugin) som gör att du kan kolla på pdf-filer direkt i din webbläsare. Säkerhetsexperter på Symantec och Verisign Idefense varnar nu för att hackare med hjälp av detta kan utföra så kallade xss-attacker (cross-site-scripting-attacker). Det rapporterar News.com i dag.

Elak kod bakas in i länk
Säkerhetshålet innebär att en hackare kan leta reda på en pdf-fil som ligger på helt legitim sajt, som en bank eller ett företag. Därefter kan attackeraren själv skapa en länk till pdf-filen - och i själva länkningen baka in elak kod.

- Sårbarheten gör det möjligt att utföra cross-site-scripting-attacker för att stjäla cookies, sessionsinformation eller för att till exempel skapa en xss-mask, säger Ken Dunham på Verisign Idefense till News.com.

Eftersom pdf-filer är mycket vanligt förekommande på webbplatser och formatet är väldigt spritt riskerar säkerhetshålet att kraftigt öka antalet xss-attacker, varnar säkerhetsexperterna vidare. Men det finns skydd.

Enkelt att skydda sig
Enligt Adobe ska den senaste versionen av pdf-läsaren Adobe Acrobat 8 inte påverkas av säkerhetshålet.

Kör du en äldre version som ännu inte uppdaterats av Adobe kan du tvinga din webbläsare att öppna pdf-filer i det fristående programmet Adobe Reader is tället för via insticksmodulen. Detta gäller filer med ändelsen pdf, spdf och fdf i första hand.