In de Patch Tuesday van vorige week installeerde Adobe heimelijk een Chrome-plugin om PDF-pagina's op het web direct in Reader te openen. In de release notes werd niet eens gemeld dat deze werd mee-geïnstalleerd bij updates aan Acrobat en Reader.

Google-onderzoeker Tavis Ormandy wijst nu op een lek in die plug-in. Hij merkte een kwetsbaarheid op waarmee aanvallers scripts kunnen uitvoeren die de DOM-omgeving in de browser aanpassen, een wat minder gangbare XSS-aanval. Daarmee kunnen ze potentieel malafide acties uitvoeren.