Chercheur en sécurité informatique belge, Didier Stevens a publié une preuve de concept sous forme de fichier PDF qui montre comment sous Windows un fichier exécutable ( potentiellement malveillant ) peut être lancé directement depuis Adobe Reader ou Foxit Reader, et ce sans exploiter une vulnérabilité de l'un de ces lecteurs PDF.

Pour le cas d'Adobe Reader, l'utilisateur est bien alerté par un message, mais Didier Stevens a trouvé un moyen de le leurrer en modifiant la teneur de cet avertissement. Pour Foxit Reader, il n'y a tout simplement aucun avertissement.

Les deux éditeurs ont été prévenus par Didier Stevens. Foxit Software vient ainsi de mettre en ligne une mise à jour de Foxit Reader ( 3.2.1.0401 ) afin que le logiciel ne puisse plus exécuter automatiquement un programme intégré dans un document PDF sans demander au préalable la permission de l'utilisateur.

Pour sa part, Adobe que F-Secure a une nouvelle fois pointé du doigt, a décidé qu'il n'apporterait pas de modifications à Adobe Reader, bien qu'une prochaine mise à jour pourrait adresser des messages d'avertissement plus stricts.

En réalité, Adobe Reader et Foxit Reader ne permettent pas à des exécutables intégrés dans un document PDF d'être extraits et lancés. Didier Stevens a par contre découvert comment, via une commande, lancer un exécutable intégré.

Dans une réponse fournie à ThreatPost, Adobe a indiqué que la démonstration de Didier Stevens est liée à une fonctionnalité définie dans la spécification PDF et relative à la commande /launch. " C'est un exemple de la puissance d'une fonctionnalité invoquée par certains utilisateurs qui présente aussi des risques potentiels en cas d'utilisation incorrecte ".