Quando Adobe ha rilasciato un aggiornamento per la società Adobe Acrobat Reader DC software in gennaio, ha installato a fianco con un estensione per il browser Google Chrome.
Questa “feature” non era indicato nel changelog, e gli utenti hanno avuto alcuna opzione per bloccare l’installazione. Chrome meccanismo di sicurezza quando si tratta di installazione di estensioni del browser ha fatto calciare in, tuttavia, e bloccato l’estensione viene attivato automaticamente.
Ancora, gli utenti hanno un prompt la prossima volta che si apre Chrome che ha chiesto loro di attivare Adobe Acrobat estensione in Chrome, o rimuovere dal browser.
L’estensione permette agli utenti di trasformare le pagine web in documenti PDF. Esso include anche la telemetria di routine che si sono attivati per impostazione predefinita.
Mentre è abbastanza grave che Adobe ha fatto senza dare agli utenti una scelta-la proroga fatto ottenere installato, dopo tutto e che è stato di Chrome che ha fatto bloccare la sua attivazione — c’è di peggio.
Scopre, l’estensione di google Chrome che Adobe spinto verso il sistema dell’utente è anche l’aggiunta di vettori di attacco ai sistemi, se abilitato.
Google Tavis Ormandy ha deciso di guardare l’estensione della sorgente, e trovato un codice JavaScript per l’esecuzione di bug che ha messo il di 30 milioni di sistemi, l’estensione è stata installata a rischio.
Presumibilmente si può fare
finestra.open(“chrome-estensione://efaidnbmnnnibpcajpcglclefindmkaj/dati/js/telaio.l’html?messaggio=” + encodeURIComponent(JSON.stringify({
panel_op: “stato”,
current_status: “il fallimento”,
messaggio: “<h1>ciao</h1>”
})));Penso CSP potrebbe rendere impossibile per saltare dritto per l’esecuzione di script, ma si può iframe non web_accessible_resources, e facilmente pivot che l’esecuzione di codice o modificare le opzioni di privacy via options.html, etc.
Adobe ha fatto rilasciare un fix per il problema, e l’ultima versione di Adobe Acrobat per Chrome è patchato.
Adobe ha rilasciato un aggiornamento di sicurezza per Adobe Acrobat estensione per Chrome. Questo aggiornamento risolve un cross-site scripting vulnerabilità di livello importante che potrebbe provocare l’esecuzione di JavaScript nel browser.
Recap
Adobe installato l’estensione per Chrome Adobe Acrobat senza l’interazione dell’utente o di preavviso, come parte di un aggiornamento per la società Adobe Acrobat Reader DC software. L’estensione home del telefono con i dati di telemetria, e lo ha fatto introdurre una seria vulnerabilità di sicurezza che gli utenti possono cadere vittima di. Adobe ha fatto la patch di vulnerabilità rapidamente dopo che è stato notificato da parte di Google della sua esistenza.
Recensioni degli utenti di Adobe Acrobat pagina estensione su Chrome Web Store mostrare rabbia e confusione per la maggior parte mai dal momento che l’estensione è stata installata in silenzio sul sistema dell’utente.
Che cosa si può fare su di esso
Avete un paio di opzioni, ma solo uno fa in modo che una cosa del genere non accada di nuovo in futuro.
- Non fare nulla. Non è raccomandato.
- Rimuovere tutti i prodotti Adobe dal tuo computer systems. Se non fare affidamento su di loro, questo è il migliore e l’opzione solo per garantire che Adobe non spingere l’altra estensione per i vostri sistemi in futuro.
- Blacklist l’estensione di google Chrome utilizzando criteri di Chrome per i dispositivi. L’estensione ID efaidnbmnnnibpcajpcglclefindmkaj, e trovi l’opzione per farlo in Criteri di Gruppo del Computer > Politiche > Modelli Amministrativi > Google > Google Chrome > Estensioni > Configurato estensione blacklist (grazie di Sicurezza Decente e Nato in Città). Blacklist non impedisce di Adobe da spingere altre estensioni per i sistemi in se.
Ora: Cosa pensi di questo?