べつになんでもないこと

PDFとはプロブレマティック・ドキュメント・フォーマットの略なのか？

　「Foxit Reader」のユーザーは、DidierのデモPDFファイルを開いてみよう。開いた後、ファイルはシステム上でCMD.EXEを実行するだろう。何の質問も無く。そしてこれは、エクスプロイトを使用していない正当なPDFファイルなのだ。

　リスクを軽減する一つの方法は、Webから自分のマシンにPDFファイルを一切ダウンロードしないことだ。ローカル・マシンでファイルを開く代わりに、Google Docsのようなビューワでリモートに開くことができる。

実はその危険も考えてPDFのリンクはGoogle doc経由にして貼ってたわけです。だからと言って確実に安全かは分かりませんけれどね。

　さもなければ、できる限り一般的でないPDFリーダーを使用することを推奨する。ユーザーが少ない製品ほど、攻撃されることも少ないのだから。

推奨するなら、一般的でないPDFリーダーを列挙してもらわないと。

とりあえず「Sumatra PDF viewer by Krzysztof Kowalczyk」でアレを開いてみたけれどコマンドは起動しなかったので、しばらくデフォルトのPDFビューアにすることに……でも他の脆弱性がないという保証なんてないんですよね。

かえってメジャーなソフトの方が、脆弱性の情報がよく集まりますので危険も分かりやすかったりします。
それでもFoxitの対応によっては乗り換えも検討することにしましょうか。
→Foxit Reader 3.2.1リリース＼(＾o＾)／ｵﾜﾀ


参考：
2010.03.31 水曜日 - UnderForge of Lack

「Readerの唯一の対処は、怪しげな警告ウィンドウが開いたときに実行しない（ウィンドウをPDF内に貼り付けたソーシャル・エンジニアリング的な手口の可能性に注意するように」っと。
JavaScriptもExploitsも関係無いということで・・・

※というか PDFから別アプリがラウンチ可能、ペイロード投下可能という仕様に問題があるような気が・・・

PDF Arbitrary Code Execution - vulnerable by design.

PDFの機能を利用してコードが実行可能に　研究者が公表

PDFの表示あれこれ:

PDFからのプログラム実行をとりあえず防いでみる

尚、私の検証環境は、次のとおりです。
・Windows XP SP3 （full patched）
・Adobe Reader 9.3（最新版）

F-Secureが9.3（最新版）って書いてちゃダメじゃん。9.3.1だろと。
実は9.3で検証してて本気で最新版だと思っちゃないよな？

「ファイルを開くだけでプログラム実行の恐れ」、PDFの危険な仕様 - ニュース：ITpro

　デモファイルを開いた際の挙動は、閲覧ソフトによって異なる。例えばAdobe Readerで開くと、セキュリティ警告が表示される（図）。この警告を無視して「開く」ボタンをクリックすると、cmd.exeが実行される。

　一方「Foxit Reader」などの場合には、警告を表示することなくcmd.exeを実行するという。つまり、悪質なPDFファイルを開くだけで、ウイルスなどを実行される危険がある。