Adobe heeft onveilige Adobe Acrobat-extensie naar Chrome-systemen gepusht
- Categorie: Google Chrome
Toen Adobe in januari een update uitbracht voor de Adobe Acrobat Reader DC-software van het bedrijf, werd deze ernaast geïnstalleerd een browserextensie voor Google Chrome .
Deze 'feature' werd niet genoemd in het changelog, en gebruikers hadden geen optie om de installatie te blokkeren. Het beveiligingsmechanisme van Chrome als het gaat om de installatie van browserextensies is echter geactiveerd en heeft ervoor gezorgd dat de extensie niet automatisch kan worden ingeschakeld.
Toch kregen gebruikers de volgende keer dat ze Chrome openden een prompt met de vraag om de Adobe Acrobat-extensie in Chrome in te schakelen of deze uit de browser te verwijderen.
Met de extensie kunnen gebruikers webpagina's omzetten in PDF-documenten. Het bevat ook telemetrie-routines die standaard zijn ingeschakeld.
Hoewel het al erg genoeg is dat Adobe dit heeft gedaan zonder gebruikers een keuze te geven - de extensie is toch geïnstalleerd en het was Chrome die de activering ervan blokkeerde - wordt het nog erger.
Blijkt dat de Chrome-extensie die Adobe naar gebruikerssystemen heeft gepusht, ook aanvalsvectoren aan de systemen toevoegt, indien ingeschakeld.
Google's Tavis Ormandy beslist om naar de bron van de extensie te kijken, en vond een fout in de uitvoering van JavaScript-code die de toenmalige 30 miljoen systemen waarop de extensie was geïnstalleerd in gevaar bracht.
Waarschijnlijk kunt u doen
window.open ('chrome-extension: //efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html? message =' + encodeURIComponent (JSON.stringify ({
panel_op: 'status',
current_status: 'mislukking',
bericht: 'Hallo
'
})));Ik denk dat CSP het misschien onmogelijk maakt om direct naar scriptuitvoering te springen, maar je kunt niet web_accessible_resources iframen, en dat eenvoudig naar code-uitvoering draaien, of privacy-opties wijzigen via options.html, etc.
Adobe heeft vrijgegeven een oplossing voor het probleem, en de meest recente versie van Adobe Acrobat voor Chrome is gepatcht.
Adobe heeft een beveiligingsupdate uitgebracht voor de Adobe Acrobat-extensie voor Chrome. Deze update verhelpt een kwetsbaarheid voor cross-site scripting die als belangrijk wordt aangemerkt en die mogelijk kan leiden tot JavaScript-uitvoering in de browser.
Samenvatting
Adobe heeft de Chrome-extensie Adobe Acrobat zonder gebruikersinteractie of kennisgeving geïnstalleerd als onderdeel van een update voor de Adobe Acrobat Reader DC-software van het bedrijf. De extensie belt naar huis met telemetriegegevens en introduceerde een ernstig beveiligingsprobleem waar gebruikers het slachtoffer van kunnen worden. Adobe repareerde de kwetsbaarheid snel nadat Google op de hoogte was gebracht van het bestaan ervan.
Gebruikersrecensies op de Adobe Acrobat-extensiepagina in de Chrome Web Store tonen voor het grootste deel woede en verwarring sinds de extensie stil op gebruikerssystemen is geïnstalleerd.
Wat u eraan kunt doen
Je hebt een aantal opties, maar er is er maar één die ervoor zorgt dat zoiets in de toekomst niet meer zal gebeuren.
- Niets doen . Niet aangeraden.
- Verwijder alle Adobe-producten van uw computersystemen. Als u er niet op vertrouwt, is dit de beste en enige optie om ervoor te zorgen dat Adobe in de toekomst geen andere extensie naar uw systemen pusht.
- Zet de Chrome-extensie op de zwarte lijst gebruik makend van Chrome-beleid voor apparaten . De extensie-ID is efaidnbmnnnibpcajpcglclefindmkaj, en u vindt de optie om dit te doen in het Groepsbeleid onder Computer> Beleid> Beheersjablonen> Google> Google Chrome> Extensies> Geconfigureerde extensie zwarte lijst (bedankt Fatsoenlijke beveiliging en Geboren stad ). Blacklisting belet Adobe echter niet om andere extensies naar systemen te pushen.
Nu jij : Wat vind je hier van?