Når Adobe har gitt ut en oppdatering for selskapets Adobe Acrobat Reader DC programvare i januar, er det installert sammen med det som er en nettleser utvidelse for Google Chrome.
Denne “funksjonen” var ikke nevnt i changelog, og brukerne hadde ingen mulighet til å blokkere installasjon. Chrome security mekanisme når det gjelder installasjon av utvidelser gjorde sparke i imidlertid, og sperret extension fra å bli aktivert automatisk.
Likevel, brukere fikk en rask neste gang de åpnet Chrome, som ba dem om å aktivere Adobe Acrobat-utvidelsen i Chrome, eller fjerne det fra nettleseren.
Utvidelsen tillater brukere å slå websider til PDF-dokumenter. Det inkluderer også telemetri rutiner som er aktivert som standard.
Mens det er ille nok at Adobe gjorde det uten å gi brukere et valg — utvidelsen fikk installert etter alt og det var Chrome som gjorde blokkere sine aktivering — det blir enda verre.
Slår ut, Chrome-utvidelse som Adobe skjøvet ut til bruker-systemer er også legge til angrepsvektorer til systemer hvis den er aktivert.
Googles Tavis Ormandy bestemte seg for å se på utvidelse kilde, og fant en JavaScript-kode bug som satte deretter 30 millioner systemer utvidelsen ble installert på at risikoen.
Antagelig kan du gjøre
vinduet.åpne(“chrome-utvidelsen://efaidnbmnnnibpcajpcglclefindmkaj/data/js/ramme.html?melding=” + encodeURIComponent(JSON.stringify({
panel_op: “status”,
current_status: “fiasko”,
melding: “<h1>hei</h1>”
})));Jeg tror CSP kan gjøre det umulig å hoppe rett til kjøring av skriptet, men du kan iframe ikke web_accessible_resources, og lett pivot som til kjøring av kode, eller endre alternativer for personvern via options.html, etc.
Adobe gjorde lansere en løsning på problemet, og den nyeste versjonen av Adobe Acrobat for Chrome er oppdatert.
Adobe har lansert sikkerhetsoppdateringer for Adobe Acrobat utvidelser for Chrome. Denne oppdateringen løser en cross-site scripting ” – sårbarhet viktig vurdert som potensielt kan føre til kjøring av JavaScript i nettleseren.
Oppsummering
Adobe installert Chrome extension Adobe Acrobat uten brukermedvirkning eller varsel som en del av en oppdatering for selskapets Adobe Acrobat Reader DC-programvare. Utvidelsen telefoner hjem med telemetri-data, og det gjorde innføre et alvorlig sikkerhetsproblem som brukere kan falle offer for. Adobe gjorde patch sårbarheten raskt etter at det ble varslet av Google på sin eksistens.
Brukeren anmeldelser på Adobe Acrobat extension side på Chrome nettmarked viser sinne og forvirring for det meste helt siden utvidelsen ble installert stille på bruker-systemer.
Hva du kan gjøre med det
Du har et par alternativer, men bare én som sørger for at noe lignende ikke vil skje igjen i fremtiden.
- Gjøre ingenting. Anbefales ikke.
- Fjern alle Adobe-produkter, fra din datamaskin systemer. Hvis du ikke stole på dem, dette er den beste og eneste alternativet for å sikre at Adobe vil ikke presse en utvidelse av din systemer i fremtiden.
- Svarteliste Chrome extension bruker Chrome retningslinjer for enheter. Utvidelsen ID er efaidnbmnnnibpcajpcglclefindmkaj, og du finne muligheten til å gjøre det i Group Policy under Datamaskin > Politikk > Administrative Maler > Google > Google Chrome – > Utvidelser > Konfigurert extension svarteliste (takk Anstendig Sikkerhet og Født Byen). Svartelister ikke forhindrer Adobe fra å skyve andre utvidelser for å systemene selv.
Nå er Du: Hva synes du om dette?