Adobe geduwd onzeker Adobe Acrobat extensie voor Chrome-systemen

0
144

Wanneer Adobe een update uitgebracht voor het bedrijf Adobe Acrobat Reader DC software in januari, het geïnstalleerd naast een browser extensie voor Google Chrome.

Deze “feature” niet is vermeld in de lijst van veranderingen, en gebruikers was geen optie voor het blokkeren van de installatie. Chrome security mechanisme als het gaat om de installatie van browser-extensies van verwierpen echter geblokkeerd en de extensie wordt automatisch ingeschakeld.

Nog steeds, gebruikers kregen een melding de volgende keer dat ze geopend Chrome, die van hen gevraagd om de Adobe Acrobat extensie in Chrome, of te verwijderen uit de browser.

De uitbreiding maakt het mogelijk gebruikers van web pagina ‘ s in PDF-documenten. Het bevat ook telemetrie routines die zijn standaard ingeschakeld.

adobe acrobat chrome extension

Terwijl het is al erg genoeg dat deed Adobe dus zonder dat de gebruiker een keuze — de uitbreiding heeft geïnstalleerd en na het Chroom dat deed blokkeren de activering — het wordt nog erger.

Blijkt, is de Chrome-extensie die Adobe geduwd om de gebruiker systemen is ook het toevoegen van misbruik van de systemen als deze is ingeschakeld.

Google Tavis Ormandy besloten om te kijken naar de verlenging van de bron, en een JavaScript code bug die het vervolgens 30 miljoen systemen de extensie is geïnstalleerd op in gevaar.

Vermoedelijk kunt u doen

venster.open(“chrome-extensie://efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html?bericht=” + encodeURIComponent(JSON.stringify({
panel_op: “status”,
current_status: “fout”,
bericht: “<h1>hello</h1>”
})));

Ik denk dat CSP zou het onmogelijk maken om direct naar de uitvoering van het script, maar u kunt iframe niet web_accessible_resources en gemakkelijk pivot die tot code-uitvoering, of het wijzigen van de privacy-opties via options.html, enz.

Adobe heeft een release correctie voor het probleem, en de meest recente versie van Adobe Acrobat for Chrome is hersteld.

Adobe heeft een beveiligingsupdate uitgebracht voor Adobe Acrobat extensie voor Chrome. Deze update verhelpt een cross-site scripting vulnerability nominale belangrijk dat zou kunnen leiden tot de uitvoering van JavaScript in de browser.

Samenvatting

Adobe geïnstalleerd op de Chrome-extensie Adobe Acrobat zonder interactie van de gebruiker of de kennisgeving als onderdeel van een update voor het bedrijf Adobe Acrobat Reader DC software. De uitbreiding telefoons huis met telemetrie gegevens, en het deed de invoering van een ernstige kwetsbaarheid in de beveiliging die gebruikers kunnen het slachtoffer worden. Adobe heeft een patch van de kwetsbaarheid snel nadat het op de hoogte was gebracht door Google van haar bestaan.

Ervaringen over de Adobe Acrobat extensie pagina op de Chrome Web Store toon woede en verwarring voor het grootste deel al sinds de extensie is geïnstalleerd op de achtergrond van user systemen.

Wat u kunt doen

Je hebt een paar opties, maar slechts één zorgt ervoor dat iets als dit zal niet weer gebeuren in de toekomst.

  1. Niets doen. Niet aanbevolen.
  2. Verwijder alle Adobe-producten van uw computer systemen. Als je niet op ze rekenen, dit is de beste en enige optie om ervoor te zorgen dat Adobe niet duwen een andere uitbreiding van uw systemen in de toekomst.
  3. Zwarte lijst de Chrome-extensie met behulp van google Chrome-beleid voor apparaten. De extensie-ID is efaidnbmnnnibpcajpcglclefindmkaj, en je vindt daar de optie om dat te doen in het Beleid van de Groep onder Computer > Beleid > Administrative Templates > Google > Google Chrome – > Extensies > Geconfigureerd extensie zwarte lijst (met dank Fatsoenlijke Beveiliging en Geboren Stad). Zwarte lijst niet voorkomen dat Adobe van het duwen van andere extensies om systemen al.

Nu Jij: Wat denk je van dit?