サイトに置いてある PDF が XSS に利用される？

サイト上に PDF が置いてある場合、それを XSS に利用される可能性があるらしい。情報源は Universal XSS with PDF files: highly dangerous というブログ記事（元となった ML への投稿は [WEB SECURITY] Universal XSS with PDF files: highly dangerous）。

これは PDF ファイルへのリンクの末尾に JavaScript のコードを追加しておくことで、ユーザーがリンクをクリックしたときに、任意のコードを実行できる、というもの。Acrobat Reader のバージョン 7 以前と Firefox や IE の組み合わせで再現するようだ（念のため、Mac の Preview でも試してみたが、この問題は発生しなかった）。

Adobe は修正版の ver. 7 をリリース予定。