Wenn Adobe ein update veröffentlicht, für das Unternehmen Adobe Acrobat Reader, DC-software im Januar, zusammen mit einer browser-Erweiterung für Google Chrome.
Dieses “feature” wurde auch nicht erwähnt im changelog, und der Benutzer hatte keine Möglichkeit, die installation zu verhindern. Chrom-Sicherheits-Mechanismus, wenn es um die installation von browser-Erweiterungen haben kick in jedoch und blockiert die Erweiterung wird automatisch aktiviert.
Noch, Nutzer bekommen eine Eingabeaufforderung, wenn Sie das nächste mal öffnete, Chrom, fragte Sie, um zu aktivieren, wird der Adobe Acrobat-Erweiterung in Chrome, oder entfernen Sie Sie aus dem browser.
Die Erweiterung ermöglicht es Benutzern, zu drehen web-Seiten in PDF-Dokumente. Es enthält auch Telemetrie-Routinen, die standardmäßig aktiviert sind.
Es ist zwar schlimm genug, dass Adobe so Tat, ohne dass Benutzer eine Wahl-die Verlängerung bekommen habe installiert, nachdem alle, und es wurde Chrome, der hat block seine Aktivierung — es kommt noch schlimmer.
Stellt sich heraus, das Chrome-Erweiterung, die von Adobe heraus geschoben werden, um Benutzer-Systemen ist auch das hinzufügen von Angriffsmethoden, um die Systeme, die, wenn aktiviert.
Googles Tavis Ormandy entschied sich bei der Erweiterung Quelle, und fand eine Ausführung von JavaScript-code Fehler, die dann auf 30 Mio Systemen die Erweiterung installiert wurde, auf Risiko.
Vermutlich können Sie tun
Fenster.open(“chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/Daten/js/frame.html?message=” + alsterrunde(JSON.stringify({
panel_op: “status”,
current_status: “Ausfall”,
Meldung: “<h1>Hallo</h1>”
})));Ich denke, CSP könnte es unmöglich machen, zu springen, direkt auf die Skript-Ausführung, aber Sie können iframe nicht web_accessible_resources, und einfach pivot, die die Ausführung von code ermöglichen, oder ändern Sie die Privatsphäre-Optionen über options.html usw.
Adobe hat release einen fix für das Problem, und die neueste version von Adobe Acrobat für Chrome gepatcht wird.
Adobe veröffentlicht ein security update für den Adobe-Acrobat-Erweiterung für Chrome. Dieses update behebt die cross-site-scripting-Schwachstelle als hoch eingestuft, könnte möglicherweise dazu führen, dass die Ausführung von JavaScript im browser.
Zusammenfassung
Adobe installiert die Chrome-Erweiterung ” Adobe Acrobat ohne Benutzer-Interaktion oder eine Bekanntmachung, die als Teil eines Updates für die Unternehmens Adobe Acrobat Reader, DC-software. Die Erweiterung Telefone zu Hause mit Telemetrie-Daten, und es führte in der Tat eine schwerwiegende Sicherheitslücke, die Nutzer könnten Opfer fallen. Adobe hat patch die Sicherheitslücke schnell, nachdem es benachrichtigt wurde durch Google auf Ihre Existenz.
User-Bewertungen auf der Adobe-Acrobat-Erweiterung-Seite im Chrome Web Store zeigen Wut und Verwirrung, zum größten Teil seit der Erweiterung wurde automatisch installiert auf Systemen der Benutzer.
Was Sie über es tun können
Sie haben ein paar Optionen, aber nur eine stellt sicher, dass so etwas nicht noch einmal passiert in der Zukunft.
- Nichts tun. Nicht zu empfehlen.
- Entfernen Sie alle Adobe-Produkte aus Ihrer computer-Systeme. Wenn du nicht auf Sie angewiesen sind, ist dies die beste und einzige Möglichkeit, um sicherzustellen, dass Adobe nicht drücken Sie eine andere Erweiterung, um Ihre Systeme in der Zukunft.
- Blacklist-die Chrome-Erweiterung mit Chrome-Richtlinien für Geräte. Die Erweiterungs-ID efaidnbmnnnibpcajpcglclefindmkaj, und Sie finden die option in der Gruppenrichtlinie unter Computer – > Richtlinien > Administrative Vorlagen > Google > Google Chrome > Erweiterungen > Erweiterung Konfiguriert blacklist (Dank Anständigen Sicherheits-und Geboren-Stadt). Blacklisting wird nicht verhindern, dass Adobe zu drängen andere Erweiterungen für Anlagen wenn.
Jetzt Sie: Was hältst du von dieser?