via seasurfers

• The websecurity January 2007 Archive by thread

要はPDFファイルのあとにちょっと噛ませば、XSS出来るってこと。

seasurfersで、はまちちゃんと園田さんがちょっと回避策書いてたけど*1、とりあえずAcrobat8にするか、ブラウザ内でPDF開かないようにすると大丈夫なのかなという雰囲気*2。サーバサイドでどうにかする場合は、お決まりのoctet-streamでOKでしょう。
気が向いたらsafariをはじめ、Mac環境も検証してみよう。