Når Adobe har udgivet en opdatering til selskabets Adobe Acrobat Reader DC software i januar, er det installeret sammen med det en browser udvidelse til Google Chrome.
Denne “funktion” ikke blev nævnt i changelog, og brugerne fik ikke nogen mulighed for at blokere for installationen. Chrome ‘ s mekanisme, når det kommer til installation af browser-udvidelser gjorde spark i dog, og blokerede udvidelse fra at blive aktiveret automatisk.
Stadig, brugere fik en prompt, næste gang de åbnede Chrome, der bedt dem om at kunne aktivere Adobe Acrobat udvidelse i Chrome, eller fjerne det fra browseren.
Udvidelsen giver brugerne mulighed for at slå web-sider til PDF-dokumenter. Det omfatter også telemetri rutiner, som er aktiveret som standard.
Selv om det er slemt nok, at Adobe har så uden at give brugerne et valg — udvidelsen ikke bliver installeret, efter at alle, og det var Chrome, der gjorde blokere dens aktivering — det bliver endnu værre.
Viser sig, at den udvidelse i Chrome, der Adobe skubbes ud til brugeren systemer er også tilføje angrebsvinkler til de systemer, hvis de er aktiveret.
Google ‘ s Tavis Ormandy besluttet at se på den udvidelse kilde, og fandt en JavaScript-kode fejl, at sætte den så 30 mio systemer udvidelse blev installeret på en risiko.
Formentlig kan du gøre
vindue.åbne(“chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/data/js/ramme.html?besked=” + encodeURIComponent(JSON.stringify({
panel_op: “status”,
current_status: “svigt”,
besked: “<h1>hello</h1>”
})));Jeg tror, at CSP kan gøre det umuligt at springe direkte til udførsel af scriptet, men du kan iframe ikke web_accessible_resources, og nemt pivot, at der til udførelse af kode eller ændre indstillinger for beskyttelse via options.html osv.
Adobe har frigive en løsning på det problem, og den seneste version af Adobe Acrobat for Chrome er lappet.
Adobe har frigivet en sikkerhedsopdatering til Adobe Acrobat udvidelse til Chrome. Denne opdatering løser et cross-site scripting sårbarhed vurderet vigtigt, at der potentielt kunne føre til udførelse af JavaScript i browseren.
Resumé
Adobe installeret Chrome extension Adobe Acrobat uden interaktion fra brugeren, eller du bemærker som en del af en opdatering til selskabets Adobe Acrobat Reader DC software. Udvidelse telefoner hjem med telemetri data, og det gjorde, at indføre en alvorlig sikkerhedsbrist, at brugere kan blive ofre for. Adobe gjorde patch sårbarhed hurtigt efter det blev meddelt ved at Google på sin eksistens.
Bruger anmeldelser på Adobe Acrobat udvidelse side i Chrome webshop vise vrede og forvirring, for det meste, lige siden den udvidelse blev installeret lydløst på brugernes systemer.
Hvad du kan gøre ved det
Du har et par muligheder, men kun én, der gør sikker på, at noget lignende ikke vil ske igen i fremtiden.
- Gør noget. Ikke anbefalet.
- Fjern alle Adobe-produkter fra din computer systemer. Hvis du ikke stole på dem, dette er den bedste og eneste mulighed for at sikre, at Adobe vil ikke skubbe en anden udvidelse til dine systemer i fremtiden.
- Blacklist Chrome extension bruger Chrome politikker for enheder. Udvidelse ID er efaidnbmnnnibpcajpcglclefindmkaj, og du finder mulighed for at gøre det i gruppepolitik under Computer > Politikker > Administrative Skabeloner > Google > Google Chrome – > Udvidelser > Konfigureret udvidelse sortliste (tak Anstændigt Sikkerhed og Født i Byen). Sortlistning vil ikke forhindre, at Adobe fra at presse andre extensions systemer selv.
Nu kan Du: Hvad synes du om dette?