http://www.ithome.com.tw/itadm/article.php?c=53862 當時Adobe建議使用者暫時關閉JavaScript功能以降低漏洞威脅。然而，研究人員相繼 指出關閉JavaScript也難以阻擋攻擊。 Adobe在今年2月警告Adobe Reader及Acrobat含有重大漏洞，且已收到攻擊報告，當時 Adobe建議使用者暫時關閉JavaScript功能以降低威脅。然而，研究人員相繼指出，就 算關閉JavaScript也難以阻擋攻擊，更有研究人員展示不需開啟惡意檔案就能進行攻擊 。 資安業者賽門鐵克表示，一旦使用者開啟夾帶惡意JavaScript的PDF檔案就可能觸發該 漏洞，導致應用程式關閉或讓駭客掌控電腦。因此包括 Adobe、賽門鐵克及 Shadowserver等業者皆建議使用者暫時關閉JavaScript以降低威脅，而Adobe則計畫在 本周三（3/11）修補該漏洞。 不過，另一資安業者Secunia在今年2月指出，雖然關閉JavaScript功能的確能夠防範目 前的攻擊程式，但並無法掩護實際的漏洞，該公司已打造一攻擊程式，不需利用 JavaScript就能危害使用者。Immunity技術長David Aitel也有類似的言論。 安全研究人員Didier Stevens更在部落格中展示攻擊該漏洞的三種方式，甚至不用開啟 PDF檔案，這些攻擊程式既未含有shellcode，也未使用JavaScript。 Stevens說明，當使用者選擇惡意PDF檔案，或利用縮圖檢視PDF檔案，甚至只是當滑鼠 移過PDF檔案時，Windows Explorer Shell Extension會讀取PDF檔案以提供額外的資訊 ，這就會被用來執行程式並觸發漏洞攻擊。 F-Secure研究長Mikko Hypponen認為，儘管有其他免費且執行速度更快的PDF讀取工具 ，但幾乎每一個人都用Adobe Reader來開啟PDF檔案，Adobe Reader已成為新的IE，他 建議使用者避免使用Adobe Reader以策安全。（編譯/陳曉莉） -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 118.166.114.81