PDF XSS おためし
http://www.google.com/librariancenter/downloads/Tips_Tricks_85x11.pdf#something=javascript:alert("TEST");
上記 URL を踏んで、「TEST」と書いたダイアログボックスが出るかどうかで試せます。
手元の環境では、
- WindowsXP Pro SP2 フルパッチ + IE6 フルパッチ + Acrobat Reader 6 動作した
- Windows2000 Pro SP4 フルパッチ +IE6 フルパッチ + Acrobat Reader 8 動作せず
となっています。
1/5 追記:
Nut Security さんとこでもっと多くの環境でテストした結果が示されています。
Acrobat Reader 6 までは全滅、7はブラウザによっては危険、8は安全のようです。
やはり念のため、Reader を 8 にアップデートしておきましょう。無料です。7 までのあの重さがだいぶ改善されているので、「うわーPDFのリンク踏んじゃったよー」的な DoS を回避するためにも(笑)アップデートしちゃうのがよさげ。