Adobe ActiveX permite la localización de archivos

dobe Reader contiene un método seguro para escritura con la definición de "VARIANT_BOOL LoadFile([in] BSTR NombreArchivo)". Un usuario malicioso podrá emplear esto si consigue que la víctima acuda al sitio web controlado por el atacante. En dicho caso, podrá llamar al método "LoadFile" y pasar el nombre de un archivo local del ordenador de la víctima. Así, el atacante será capaz de determinar si un determinado archivo se encuentra presente en el sistema de la víctima.

Aunque no es posible conseguir el contenido del archivo, en determinados ataques puede ser de gran utilidad para el atacante conocer la ruta o la presencia de determinados archivos. Aunque el ataque no permite tomar el control del sistema, puede ser empleado como un paso para la realización de ataques más refinados.

Adobe informa de ello en http://www.adobe.com/support/techdocs/331465.html y recomienda la actualización a la versión 7.0.1 del producto.