黑客可以利用黑白灰度級(jí)圖片的形式把惡意代碼隱藏在PDF文檔中，并躲開(kāi)防病毒程序的檢測(cè)，然后在文檔閱讀器打開(kāi)這個(gè)PDF文檔時(shí)，惡意代碼得以執(zhí)行。

丹麥的一位安全人員發(fā)現(xiàn)，通過(guò)有損圖片壓縮軟件，如JPXDecode或DCTDecode，可以把惡意代碼嵌入到PDF文檔中，而防病毒軟件或PDF驗(yàn)證工具通常會(huì)忽略這些壓縮工具壓縮的數(shù)據(jù)。

有損壓縮只對(duì)圖片有效，對(duì)代碼無(wú)效，因此安全軟件會(huì)認(rèn)為有損壓縮后的數(shù)據(jù)無(wú)法包含惡意代碼。但這名丹麥的研究人員奧瓦里已經(jīng)證明，用有損壓縮軟件壓縮的JPEG圖片可以隱藏惡意代碼，而且彩色的JPEG圖片的確會(huì)丟失數(shù)據(jù)破壞代碼，但高質(zhì)量的灰度級(jí)黑白JPEG圖片則可成功避免代碼損失。

奧瓦里已經(jīng)開(kāi)發(fā)出一個(gè)概念性驗(yàn)證程序，并把一段JavaScript代碼以灰度級(jí)圖片的形式嵌入到一個(gè)PDF文檔中，并確保在文檔被打開(kāi)時(shí)執(zhí)行代碼。

安全牛評(píng)：盡管這本身算不上文檔產(chǎn)品的安全缺陷，但使用DCTDecode的這種惡意使用方法卻不應(yīng)該被業(yè)界所忽略。為了***程度的保證用戶安全，PDF閱讀器應(yīng)該禁止類似的二進(jìn)制數(shù)據(jù)對(duì)象，并且對(duì)其他JPEG圖片中的數(shù)據(jù)格式進(jìn)行重新檢測(cè)。