专家最近警告说，不久前被发现的Acrobat Reader软件漏洞，远比初期预估的来得严重。问题一开始浮现时，安全专家以为只是Web相关的数据会有曝光的风险，部分网络钓鱼诈骗也可借机使力。不过现在安全厂商WhiteHat Security与SPI Dynamics双双发现，黑客其实还可进一步侵入受害者的完整硬盘数据。

至于风险的高低则需看恶意链接是指向哪边。此问题一开始被发现时，专家是警告要留意挟带JavaScript去下载PDF文件的链接。这部分虽然有风险，但黑客能作恶的部分有限。但现在发现，若是这个链接指向受害者PC中的PDF文件，则问题就大了。

"这意味着任何JavaScript都能访问使用者的本地机器。"SPI Dynamics首席工程师Billy Hoffman表示。"黑客可以利用JavaScript来读取使用者的档案、删除、执行程序、甚至擅自寄出内容等。"

相较之下，若是将挟带恶意JavaScript的链接指向网站的PDF文件，则黑客仅能取得受害者计算机部分权限。比如说，某一恶意程序代码链接至bank.com的PDF文件，即能与bank.com进行链接并访问其服务器中的cookies文件。

之所有有此一安全问题是因为Acrobat Reader的浏览器外挂程序可允许链接至PDF文件的程序能加挂JavaScript，好让链接一旦被点选后就能开始执行，WhiteHat Security首席技术官Jeremiah Grossman表示。

若要进行攻击，黑客必须先将恶意链接指向目前网络上既有或特定系统的PDF文件。Grossman表示，网络上有太多PDF文件了，若要寻找某一本地系统中的PDF其实也不难，因为Acrobat Reader安装时都有固定路线，且会放置一个sample PDF文件。

Adobe表示他们已经得知此一安全问题，但还没确认实际情况是否吻合。"根据我们目前的资料，Flash Player、Reader与新版浏览器都应该可以限制这类攻击，但我们还没完成整个状况的评估。"一位代表如此表示。

若要避开此一风险，用户可升级至最新版Adobe Reader 8。Adobe目前也已开始进行旧版升级以便解决该问题。