すごいセキュリティホール発見。

http://yoursite/yourpath/a.pdf#hoge=javascript:your_script_code

って書くと、JavaScriptが実行できてしまう。#から後ろって無視されるみたいです。
FireFox1.5/AdobeReader7で確認。

（追記）
お、IE6SP2だと起こらないや。

回避方法は、AdobeReader8以上だと起こらないようなので、バージョンアップみたい。

• http://www.webappsec.org/lists/websecurity/archive/2007-01/msg00005.html（via seasurfers ML）