当你试图下载一些东西时，Chrome经常会警告你“这种类型的文件会损害你的电脑”，即使它是PDF文件。但是PDF文件怎么会如此危险--PDF难道不只是一个包含文本和图像的文档吗？

像Adobe Reader这样的PDF阅读器多年来一直是许多安全漏洞的来源。这是因为PDF文件不仅仅是文档-它可能包含脚本、嵌入式媒体和其他可疑内容。

PDF不仅仅是文档

PDF文件格式实际上非常复杂。它可以包含许多内容，而不仅仅是您可能期望的文本和图像。PDF支持许多它可以说不应该支持的功能，这些功能在过去已经打开了许多安全漏洞。

JavaScript：PDF可以包含JavaScript代码，该代码与浏览器中的网页使用的语言相同。PDF可以是动态的，并运行修改PDF内容或操作PDF查看器功能的代码。从历史上看，许多漏洞都是由使用JavaScript代码利用Adobe Reader的PDF引起的。Adobe Reader的JavaScript实现甚至包含特定于Adobe的JavaScript API，其中一些是不安全的，已被利用。 嵌入式Flash：PDF可以包含嵌入式Flash内容。Flash中的任何漏洞也可能被用来危害Adobe Reader。在2012年4月10日之前，Adobe Reader都有自己的捆绑Flash播放器。主Flash Player中修复的安全漏洞可能要到几周后才能在Adobe Reader的捆绑Flash Player中修复，这使得安全漏洞很容易被利用。Adobe Reader现在使用系统上安装的Flash播放器，而不是内部播放器。 启动操作：PDF文件可以在弹出确认窗口后启动任何命令。在较早版本的Adobe Reader中，只要用户单击“确定”，PDF文件就可能尝试启动危险的命令。Adobe Reader现在包含一个黑名单，该黑名单限制PDF文件启动可执行文件。

GoToE：PDF文件可以包含可以加密的嵌入式PDF文件。当用户加载主PDF文件时，它可以立即加载其嵌入的PDF文件。这使得攻击者能够将恶意PDF文件隐藏在其他PDF文件中，通过阻止防病毒扫描程序检查隐藏的PDF文件来欺骗它们。 嵌入式媒体控件：除了Flash之外，PDF过去可能还包含Windows Media Player、RealPlayer和QuickTime媒体。这将允许PDF利用这些可嵌入多媒体播放器控件中的漏洞。

PDF文件格式中还有更多增加其攻击面的功能，包括在PDF中嵌入任何文件和使用3D图形的能力。

PDF安全性已得到改进

现在，您应该有希望理解为什么Adobe Reader和PDF文件会导致如此多的安全漏洞。PDF文件可能看起来像简单的文档，但不要被欺骗-表面下可能有更多的事情要做。

好消息是PDF的安全性已经提高。Adobe在Adobe Reader X中添加了一个名为“Protected Mode”的沙箱。这将在一个有限的锁定环境中运行PDF，在该环境中，它只能访问计算机的某些部分，而不能访问整个操作系统。这类似于Chrome的沙箱功能如何将网页处理与计算机的其他部分隔离开来。这给攻击者带来了更多的工作。他们不仅要在PDF查看器中找到安全漏洞-他们还必须找到安全漏洞，然后使用沙箱中的第二个安全漏洞来逃离沙箱并破坏计算机的其余部分。这并不是不可能做到的，但自从引入沙箱以来，Adobe Reader中发现和利用的安全漏洞要少得多。

您也可以使用第三方PDF阅读器，这些阅读器通常不支持所有PDF功能。在PDF包含如此多可疑功能的世界里，这可能是一件好事。Chrome有一个集成的PDF查看器，使用它的沙箱，而Firefox有自己的集成PDF查看器，完全用JavaScript编写，所以它运行在与普通网页相同的安全环境中。

虽然我们想知道PDF是否真的应该能够做所有这些事情，但PDF的安全性至少已经提高了。这比我们能说的Java插件更多，它很糟糕，目前是网络上的主要攻击媒介。如果您也安装了Java插件，Chrome会在运行Java内容之前发出警告。