Habe gerade auf Full-Disclosure einen Thread über die Sicherheit von pdfs gelesen. Laut Meinung einiger Leute dort sei das vom Adobe Reader (ehemals Acrobat Reader) unterstützte pdf-Format inzwischen mit so viel Funktionalität überladen, dass man sich langsam Gedanken über dessen Sicherheit machen sollte. Zum Beispiel kann man an ein pdf ausführbare Dateien anhängen (ab Version 5 der Vollversion und ab Version 6 des Readers). Dazu gibt es build-in JavaScript und "Auto Events". Zwar kann man anscheinend die Attachments mit letzterem nicht automatisch starten/öffnen, aber trotzdem hat es vor einiger Zeit schon einen PDF Virus gegeben ("Zulu's PDF worm").
In dem Thread wird allgemein empfohlen, lieber einen alternativen Viewer zu benutzen, der solche Spielereien gar nicht erst unterstützt. Unter Linux gibt es da z. B. xpdf, gpdf, viewpdf ... und unter Windows wäre da GSview[1], Foxit Reader[2], Brava Reader[3]
Aus anderer Quelle habe ich vor einigen Tagen gehört, dass es bei PostScript noch viel schlimmer sei. Man kann anscheinend Funktionen definieren, die z. B. vom Druckertreiber ausgeführt werden und ähnliche Schweinereien.
Vielleicht sind Word-Dokumente bei deaktivierten Macros (oder mit OOo geöffnet) doch die bessere Wahl? Naaa, wir wollen ja nicht gleich übertreiben ;-)
[1] http://www.cs.wisc.edu/~ghost/gsview/
[2] http://www.foxitsoftware.com/pdf/rd_intro.php
[3] http://www.bravaviewer.com/reader.htm
