黑客可以利用黑白灰度级图片的形式把恶意代码隐藏在PDF文档中，并躲开防病毒程序的检测，然后在文档阅读器打开这个PDF文档时，恶意代码得以执行。

丹麦的一位安全人员发现，通过有损图片压缩软件，如JPXDecode或DCTDecode，可以把恶意代码嵌入到PDF文档中，而防病毒软件或PDF验证工具通常会忽略这些压缩工具压缩的数据。

有损压缩只对图片有效，对代码无效，因此安全软件会认为有损压缩后的数据无法包含恶意代码。但这名丹麦的研究人员奥瓦里已经证明，用有损压缩软件压缩的JPEG图片可以隐藏恶意代码，而且彩色的JPEG图片的确会丢失数据破坏代码，但高质量的灰度级黑白JPEG图片则可成功避免代码损失。

奥瓦里已经开发出一个概念性验证程序，并把一段JavaScript代码以灰度级图片的形式嵌入到一个PDF文档中，并确保在文档被打开时执行代码。

安全牛评：尽管这本身算不上文档产品的安全缺陷，但使用DCTDecode的这种恶意使用方法却不应该被业界所忽略。为了最大程度的保证用户安全，PDF阅读器应该禁止类似的二进制数据对象，并且对其他JPEG图片中的数据格式进行重新检测。