正如你所預期的，PDF文檔加密功能在商業領域被廣泛使用，它通常用於保護商業秘密，機密圖像以及健康記錄。甚至為了提高安全性，有些企業會以加密PDF附件的形式來發送電子郵件。

通常來說PDF加密方式被認為是安全的，不過來自波鴻魯爾大學和芒斯特大學的研究人員近日發現了可移植文檔格式（PDF）加密標準中存在“嚴重漏洞”，能夠讓攻擊者捕獲明文。換句話說，研究人員發現可以在沒有必需的加密密鑰的情況下獲取加密PDF的內容。

研究人員將這些漏洞稱之為“PDFex”，主要特徵包括

● 即使不知道相應的密碼，攻擊者對已經加密的PDF文件進行處理之後也能獲得部分文件內容。

● 更準確地說，PDF規範允許將密文與明文混合。結合允許通過HTTP加載外部資源的其他PDF功能，一旦受害者打開文件，攻擊者就可以進行直接滲透攻擊。

● PDF加密使用密碼塊鏈接（CBC）加密模式，不進行完整性檢查，這意味著密文可延展性。

● 這使我們能夠使用CBC延展性小工具創建自解譯密文部分。我們不僅使用這種技術來修改現有的純文本，而且還要構造全新的加密對象。

在測試中，研究人員確定了兩種符合標準的攻擊，它們可以破壞加密的PDF文件的機密性。測試27個頂級PDF查看器時，所有人都容易受到至少一種攻擊的攻擊，包括Foxit Reader，Adobe Acrobat，Chrome和Firefox等軟件。

研究人員得出結論，這些問題必須在將來的PDF規範中解決，並將在下個月的ACM計算機和通信安全會議上發表他們的發現。