Quand Adobe a publié une mise à jour pour la société Adobe Acrobat Reader logiciel DC en janvier, elle a installé à côté avec une extension de navigateur pour Google Chrome.
Cette “fonctionnalité” n’a pas été mentionné dans le changelog, et les utilisateurs n’avaient pas d’option pour bloquer l’installation. Google Chrome, le mécanisme de sécurité quand il s’agit de l’installation d’extensions de navigateur n’coup de pied dans cependant, et bloqué l’extension d’être activé automatiquement.
Encore, les usagers étaient une invite la prochaine fois qu’il ouvre google Chrome qui leur a demandé d’activer le logiciel Adobe Acrobat extension dans Chrome, ou de le supprimer à partir du navigateur.
L’extension permet aux utilisateurs de transformer des pages web en documents PDF. Il comprend également la télémétrie des routines qui sont activées par défaut.
Alors qu’il est assez mauvais que Adobe n’a donc sans donner aux utilisateurs un choix — l’extension ne se installé après tout, et il était en Chrome qui fait bloc son activation — c’est encore pire.
S’avère, l’extension Chrome qui Adobe poussés vers les systèmes de l’utilisateur est également en ajoutant des vecteurs d’attaque pour les systèmes si l’option est activée.
Google Tavis Ormandy a décidé de regarder l’extension de la source, et a trouvé une exécution de code JavaScript bug qui a mis la de 30 millions de systèmes de l’extension a été installé sur au risque.
Je suppose que vous pouvez faire
de la fenêtre.open(“chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/data/js/cadre.le html?message=” + encodeURIComponent(JSON.stringify({
panel_op: “état”,
current_status: “l’échec”,
message: “<h1>bonjour</h1>”
})));Je pense que les CSP peuvent faire qu’il est impossible de passer directement à l’exécution du script, mais vous pouvez iframe non web_accessible_resources, et facilement pivot que l’exécution de code, ou de modifier les options de confidentialité, via options.html, etc.
Adobe a fait sortir un correctif pour le problème, et la version la plus récente d’Adobe Acrobat pour Chrome est patché.
Adobe a publié une mise à jour de sécurité pour Adobe Acrobat extension pour Chrome. Cette mise à jour corrige un cross site scripting vulnerability nominale important qui pourrait potentiellement conduire à l’exécution de JavaScript dans le navigateur.
Recap
Adobe installé l’extension Chrome Adobe Acrobat sans interaction de l’utilisateur ou de l’avis dans le cadre d’une mise à jour de la société Adobe Acrobat Reader DC logiciel. L’extension des téléphones à la maison avec les données de télémétrie, et il n’est d’introduire une grave faille de sécurité que les utilisateurs pourraient être les victimes. Adobe n’a patch la vulnérabilité rapidement après avoir été informé par Google de son existence.
Les avis des utilisateurs sur le logiciel Adobe Acrobat page d’extension sur le Chrome Web Store de montrer sa colère et de confusion pour la plupart depuis l’extension a été installée en silence sur les systèmes de l’utilisateur.
Ce que vous pouvez faire à ce sujet
Vous avez quelques options, mais une seule permet de s’assurer que ce genre de chose ne se reproduira pas à l’avenir.
- Ne rien faire. Pas recommandé.
- Supprimer tous les produits Adobe à partir de vos systèmes informatiques. Si vous ne comptez pas sur eux, c’est la meilleure et la seule option pour vous assurer que Adobe ne pas pousser un autre extension de votre système à l’avenir.
- La liste noire de l’extension Chrome à l’aide de Chrome politiques pour les appareils. L’ID d’extension est efaidnbmnnnibpcajpcglclefindmkaj, et vous trouverez la possibilité de le faire dans la Politique du Groupe en vertu de l’Ordinateur > Stratégies > Modèles d’Administration > Google > Google Chrome > Extensions > Configuré extension de la liste noire (merci Décent, la Sécurité et la Naissance de la Ville). La mise en liste noire ne l’empêchera pas d’Adobe de pousser les autres extensions de systèmes.
Maintenant, Vous: Que pensez-vous de cela?