När Adobe har släppt en uppdatering för bolagets Adobe Acrobat Reader DC software i januari, det installeras parallellt med det ett tillägg till webbläsaren Google Chrome.
Denna “funktion” var inte nämns i ändringsloggen och användare hade ingen möjlighet att blockera installationen. Chrome är säkerheten när det kommer till att installation av webbläsare gjorde kick i dock, och blockerade förlängning från att aktiveras automatiskt.
Fortfarande, användare fick ett snabbt nästa gång de öppnade Chrome som bad dem att aktivera Adobe Acrobat-tillägget i Chrome eller ta bort den från webbläsaren.
Tillägget tillåter användare att stänga webbsidor till PDF-dokument. Den innehåller också telemetri rutiner som är aktiverade som standard.
Även om det är illa nog att Adobe gjorde så utan att ge användare ett val-tillägget har installerats efter alla och det var Chrome som gjorde blockera dess aktivering-det blir ännu värre.
Visar sig, Chrome-tillägg som Adobe skjuts ut till användarens system är också att lägga till angreppsvägar till system om denna är aktiverad.
Googles Tavis Ormandy bestämde mig för att titta på extension source, och hittade en JavaScript kod fel att sätta den då 30 miljoner system utvidgning var installerat på risk.
Förmodligen kan du göra
fönster.öppna(“chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/data/js/ram.html?meddelande=” + encodeURIComponent(JSON.stringify({
panel_op: “status”,
current_status: “misslyckande”,
meddelande: “<h1>hej</h1>”
})));Jag tror att CSP kan göra det omöjligt att hoppa direkt till körning av skript, men du kan iframe icke web_accessible_resources, och lätt att svänga som kod eller ändra alternativen via options.html osv.
Adobe släpper en fix för problemet, och den senaste versionen av Adobe Acrobat för Chrome är lappade.
Adobe har släppt en uppdatering för Adobe Acrobat tillägg för Chrome. Den här uppdateringen åtgärdar en cross-site scripting betygsatt viktigt som potentiellt skulle kunna leda till körning av JavaScript i webbläsaren.
Resumé
Adobe installerat Chrome extension Adobe Acrobat utan interaktion med användaren eller meddelande som en del av en uppdatering för bolagets Adobe Acrobat Reader DC software. Förlängning telefoner hemma med telemetri data, och det gav upphov till en allvarlig säkerhetslucka som användare kan falla offer för. Adobe gjorde lapp sårbarhet snabbt efter att det anmälts av Google och en av dess existens.
Användarnas recensioner om Adobe Acrobat förlängning sidan på Chrome Web Store visa ilska och förvirring för det mesta ända sedan utvidgning var installerat tyst på användarens system.
Vad du kan göra åt det
Du har ett par alternativ, men bara man ser till att något sånt här inte kan hända igen i framtiden.
- Göra ingenting. Rekommenderas inte.
- Ta bort alla Adobe-produkter från ditt dator system. Om du inte lita på dem, det är det bästa och enda alternativet för att se till att Adobe inte kommer att driva ytterligare en förlängning att ditt system i framtiden.
- Svartlista Chrome extension använder Chrome politik för enheter. Tillägget ID är efaidnbmnnnibpcajpcglclefindmkaj, och hittar du alternativet att göra så i grupprincip under Dator > Politik > Administrativa Mallar > Google > Google Chrome – > Tillägg > tillägg som Konfigurerats svarta listan (tack Anständig Säkerhet och Född City). Bildt kommer inte att förhindra Adobe från att skjuta andra tillägg till system dock.
Nu är Du: Vad tycker du om detta?