O pesquisador de segurança Didier Stevens elaborou uma prova de conceito na qual usa um arquivo PDF para executar um código malicioso. Ele afirma que não precisou explorar nenhuma brecha de software.

Stevens conseguiu fazer com que o Foxit e o Adobe Reader rodassem executáveis embutidos. Como o especialista demonstra em seu blog, a princípio, os programas não permitem esse tipo de ação, mas, através de um código alternativo, é possível executar um programa malicioso incluído em um PDF.

Na teoria, quando o usuário tenta abrir um PDF malicioso, o Adobe Reader exibe uma mensagem alertando para um conteúdo que pode danificar o computador. Stevens conseguiu mudar parcialmente o aviso, de forma a incluir um texto que usa a técnica da engenharia social para convencer a vítima a aceitar a execução do arquivo.

O teste foi realizado na versão 9.3.1 do Adobe Reader, tanto no Windows XP SP3 quanto no Windows 7. Em contrapartida, o Foxit Reader não requer nenhuma confirmação do usuário para abrir o arquivo. Assim, o PDF é aberto automaticamente e o código malicioso é executado sem intervenção do usuário.

Conforme o especialista, “nesse aspecto, o Foxit Reader é provavelmente pior que o Adobe Reader, porque não disparou um alerta para prevenir a ação”.

Conforme o PC World, Stevens notificou ambas as companhias e não disponibilizou o código da prova de conceito.