Дидье Стивенс предложил оригинальный способ автозапуска произвольных программ
при открытие PDF-файла, основанный на недостаточной проверке входных данных в
командах Launch и Action.
Несмотря на то, что при запуске сторонней программы в Adobe Reader с
использованием встроенных команд PDF-формата (без использования JavaScript)
выводится предупреждение о запуске потенциально опасного кода, это
предупреждение может быть дополнено произвольным текстом, вводящим в заблуждение
пользователя. Таким образом, пользователь может разрешить запуск программного
кода, о котором даже не подозревал. Данная
техника не использует каких-либо уязвимостей в программном коде Adobe Reader
и была опробована на последней версии Adobe Reader 9.3.1.
