Os arquivos PDF foram cada vez mais perigosos recentemente. Desative o Javascript e / ou use visualizadores diferentes (outra resposta mencionou isso, não sei por que ele foi modificado).
Na verdade, existem diferentes maneiras que os arquivos podem vir depois de você.
-
Arquivos executáveis brutos. .exe, .scr, .com, .bat, etc ... executáveis simples que as pessoas executam em seu computador. Você nunca faria isso certo? E quanto aos protetores de tela que você baixa (sim, um .scr é apenas um .exe com uma linha de comando especial para conectar a tela). Vírus antigos aproveitavam as extensões ocultas do Explorer. O que você achava que era hotgirl.jpg era realmente hotgirl.jpg.exe, o Explorer esconderia .exe já que é uma extensão "conhecida" e você acabaria de ver hotgirl.jpg, clique nela e pertence.
-
Dados executáveis - macros / javascript. O MS Office Docs possui uma linguagem de macro completa que possui acesso ao e-mail e ao sistema de arquivos. Internet Explorer também, além de acesso a controles ActiveX. O Adobe Acrobat PDF teve recentemente uma má reputação em relação a falhas de Javascript. Estes são alguns dos erros que você lê sobre o Mozilla / IE. Às vezes, eles são "sandboxed", o que significa que eles recebem um lugar para jogar que, em teoria, não devem prejudicar o restante do computador, mas apenas o Chrome tem uma caixa de proteção bastante sólida.
-
Erro de análise. Erros em programas podem levar a execução de código. Em um programa, você pensa em executar código e dados de entrada como separados, mas na realidade eles são misturados em algumas áreas chamadas pilha ou heap. Se eu for um programador esperto e malvado, posso passar o código para os dados que lhe dou e enganar o seu programa para executá-lo. Muitas explorações de imagens acontecem dessa maneira. Os leitores de PDF também tiveram isso. Quanto mais complexo o documento, mais provável ele terá esses erros (e é por isso que os leitores de PDF têm muitos exploits).
Portanto, os arquivos PDF são complexos (é muito fácil ter erros na análise de código que podem ser usados para malware) e têm Javascript, que também pode ser usado para fins nefastos. Mesmo com arquivos do MS Word.
O que é seguro? Não muito. Quase tudo teve buracos. Arquivos de texto simples provavelmente são os mais seguros, já que poucas coisas os "analisam" de alguma forma. Mas até mesmo uma pequena quantidade de estrutura precisa de um analisador e os analisadores criam bugs. XML é texto e isso é explorado. Docx é um arquivo zip de XML, e isso pode ser inseguro.
Em suma, é uma merda. quase tudo lá fora é perigoso. Mantenha-se corrigido (muitos exploits são de bugs) obtenha antivírus, não use o IE, use o Chrome ou o Mozilla. Hmm, sem boas respostas.
No que diz respeito ao sandbox, como alguém disse, tente o google docs, é um analisador em suas máquinas que podem ser reproduzidas, não sua máquina. Até onde sei, nem o Word nem o Reader possuem um sandbox real. Ambos permitem que você desative o código (macros ou Javascript) e você deve fazer isso, mas isso não é um sandbox completo.
(muito tarde) EDITAR: RE: 'fonte não confiável'. Todas as fontes devem ser não confiáveis. Os anexos de e-mail não são confiáveis desde os primeiros vírus do Outlook que foram inteligentes o suficiente para enviar anexos a pessoas em sua lista de contatos. Se eu puder invadir o somewebserver, o somewebserver passará de uma fonte confiável para uma não confiável. Cuidado com tudo.