Estás a salvo...
Si utiliza Vista Previa, estará esencialmente a salvo de incrustado JavaScript. Sin embargo, esto no le protege de los archivos enlaces que te llevan a una página web con código malicioso (el aplanado es bueno para eliminar el enlace, pero un usuario podría copiar/pegar el enlace manualmente).
Durante muchos años, (en Windows) hemos desactivado JavaScript en Adobe Reader/Acrobat porque Adobe permitía incrustar todo tipo de tonterías (¡incluido Flash!) en documentos PDF. Teníamos una política de sistema (aplicada a los nodos conectados a Active Directory) que lo desactivaba en el registro de Windows. Los usuarios de Apple no utilizaban Adobe Acrobat o Reader, por lo que no era un problema para nosotros entonces.
(OMI) podrían haber incluido un subconjunto muy limitado de JavaScript para acciones como la validación de entradas en formularios y demás, pero no...
TL;DR
Estás a salvo. Sigue usando Vista Previa para abrir PDFs, ya que la decisión de Apple de no incluir soporte es un excelente mecanismo de seguridad para protegerte contra código malicioso, pero sigue atento a las URLs incrustadas que pueden llevar tu navegador a sitios con código malicioso.
Si debe utilizar Adobe Reader o Acrobat (para crear), asegúrese de desactivar JavaScript en su panel Preferencias/Configuración.
