Adobe va impulsar l'extensió Adobe Acrobat insegura als sistemes Chrome

Proveu El Nostre Instrument Per Eliminar Problemes

Quan el mes de gener, Adobe va llançar una actualització per al programari Adobe Acrobat Reader DC de la companyia, es va instal·lar al costat una extensió del navegador per a Google Chrome .

Aquesta 'característica' no es menciona al canvi de programa i els usuaris no tenien cap opció de bloquejar la instal·lació. Tanmateix, el mecanisme de seguretat de Chrome quan es tracta de la instal·lació d’extensions del navegador va impedir que l’autorització de l’extensió s’hagi activat automàticament.

Tot i així, els usuaris van rebre un avís el proper cop que van obrir Chrome que els va demanar que habilitessin l’extensió Adobe Acrobat a Chrome o que l’eliminessin del navegador.

L’extensió permet als usuaris convertir pàgines web en documents PDF. També inclou rutines de telemetria que estan habilitades de manera predeterminada.

adobe acrobat chrome extension

Tot i que és prou dolent que Adobe ho va fer sense haver de triar als usuaris, l’extensió es va instal·lar al capdavall i va ser Chrome que va bloquejar la seva activació, que encara empitjora.

Resulta que l'extensió de Chrome que Adobe va impulsar als sistemes d'usuari també està afegint vectors d'atac als sistemes si està habilitada.

Ordre de Tavis de Google decidit per veure l’origen de l’extensió i es va trobar un error d’execució de codi JavaScript que posava en risc els 30 milions de sistemes instal·lats en l’extensió.

Presumptament, ho podeu fer

window.open ('chrome-extension: //efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html? message =' + encodeURIComponent (JSON.stringify) ({
panel_op: 'estat',
current_status: 'fallada',
missatge: '

Hola

'
})));

Crec que CSP pot fer impossible saltar directament a l'execució de scripts, però es pot iframe recursos no web_accessible_resources i pivotar fàcilment per executar codi, o canviar les opcions de privadesa mitjançant options.html, etc.

Adobe va alliberar Una correcció del problema i la versió més recent d'Adobe Acrobat per a Chrome és pegat.

Adobe ha llançat una actualització de seguretat per a l’extensió Adobe Acrobat per a Chrome. Aquesta actualització aborda una vulnerabilitat d’escriptura de llocs web important que podria comportar l’execució de JavaScript al navegador.

Recupera

Adobe va instal·lar l’extensió Chrome Adobe Acrobat sense cap tipus d’interacció ni avís com a part d’una actualització del programari Adobe Acrobat Reader DC de l’empresa. L’extensió dels telèfons de casa té dades de telemetria i va introduir una greu vulnerabilitat de seguretat de la qual els usuaris podrien ser víctimes. Adobe va pegar la vulnerabilitat ràpidament després que Google la notifiqués de la seva existència.

Les revisions dels usuaris a la pàgina d'extensions d'Adobe Acrobat a Chrome Web Store mostren ràbia i confusió gairebé sempre des que l'extensió es va instal·lar en silenci als sistemes d'usuari.

Què podeu fer al respecte

Teniu un parell d’opcions, però només una s’assegura que una altra cosa no torni a passar en el futur.

  1. No fer res . No es recomana.
  2. Elimineu tots els productes d'Adobe des dels vostres sistemes informàtics. Si no confieu en ells, aquesta és la millor i única opció per assegurar-vos que Adobe no empeny una altra extensió als vostres sistemes en el futur.
  3. Llista la llista negra a l’extensió Chrome utilitzant Polítiques de Chrome per a dispositius . L’ID d’extensió és efaidnbmnnnibpcajpcglclefindmkaj i trobareu l’opció de fer-ho a la Política de grup a l’ordinador> Polítiques> Plantilles administratives> Google> Google Chrome> Extensions> Llista negra de l’extensió configurada (gràcies Seguretat decent i Ciutat nascuda ). La llista negra no evitarà que Adobe empenyi altres extensions als sistemes.

Ara tu : Què en penses d’això?