Año nuevo, petardazo nuevo. Vía lista de correo de bugtraq (también leo ahora en Kriptópolis) me entero de un fallo grave en el plugin 7.x e inferiores de Adobe que permite ejecutar código javascript así, por las buenas.

El informe original avisa que el fallo permite el robo de sesiones (chungo para los bancos), ataques de denegación de servicio para Firefox, Internet explorer...

Según parece, todo sitio que albergue un PDF es susceptible de ser petado o petable. Yo, por lo pronto, desabilito mis PDF y añado esto:

SetEnvIf Request_URI "\.pdf$" requested_pdf=pdf

Header add Content-Disposition "Attachment" env=requested_pdf

a mi .htaccess para solucionar, al menos de momento, este boquete de seguridad.

Esperemos que esto se solucione rápido...