Adobe внедрила небезопасное расширение Adobe Acrobat в системы Chrome
- Категория: Гугл Хром
Когда в январе Adobe выпустила обновление для своего программного обеспечения Adobe Acrobat Reader DC, оно было установлено вместе с ним. расширение браузера для Google Chrome ,
Эта «функция» не упоминалась в журнале изменений, и у пользователей не было возможности заблокировать установку. Однако механизм безопасности Chrome, когда дело доходит до установки расширений браузера, сработал и заблокировал автоматическое включение расширения.
Тем не менее, при следующем открытии Chrome пользователи получили приглашение включить расширение Adobe Acrobat в Chrome или удалить его из браузера.
Расширение позволяет пользователям превращать веб-страницы в документы PDF. Он также включает подпрограммы телеметрии, которые включены по умолчанию.
Хотя достаточно плохо, что Adobe сделала это, не предоставив пользователям выбора - расширение все-таки было установлено, и именно Chrome заблокировал его активацию - становится еще хуже.
Оказывается, расширение Chrome, которое Adobe внедрила в пользовательские системы, также добавляет векторы атак в системы, если они включены.
Тэвис Орманди из Google приняли решение изучить исходный код расширения и обнаружить ошибку выполнения кода JavaScript, которая подвергает риску 30 миллионов систем, на которых было установлено расширение.
Предположительно ты можешь сделать
window.open ('chrome-extension: //efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html? message =' + encodeURIComponent (JSON.stringify ({
panel_op: 'статус',
current_status: 'сбой',
сообщение: 'Привет
'
})));Я думаю, что CSP может сделать невозможным сразу перейти к выполнению скрипта, но вы можете iframe не web_accessible_resources и легко преобразовать его в выполнение кода или изменить параметры конфиденциальности через options.html и т. Д.
саман выпустил исправление проблемы и исправление последней версии Adobe Acrobat для Chrome.
Adobe выпустила обновление безопасности для расширения Adobe Acrobat для Chrome. Это обновление устраняет уязвимость межсайтового скриптинга с рейтингом 'важная', которая потенциально может привести к выполнению JavaScript в браузере.
резюмировать
Adobe установила расширение Chrome Adobe Acrobat без вмешательства пользователя или уведомления как часть обновления программного обеспечения Adobe Acrobat Reader DC. Дополнительный телефонный аппарат отправляет домой данные телеметрии, и он действительно представляет серьезную уязвимость системы безопасности, жертвами которой могут стать пользователи. Adobe исправила уязвимость быстро после того, как Google уведомила о ее существовании.
Отзывы пользователей на странице расширения Adobe Acrobat в Интернет-магазине Chrome по большей части выражают гнев и замешательство с тех пор, как расширение было незаметно установлено в пользовательских системах.
Что ты можешь с этим поделать
У вас есть несколько вариантов, но только один гарантирует, что подобное не повторится в будущем.
- Ничего не делать , Не рекомендуется.
- Удалить все продукты Adobe с ваших компьютерных систем. Если вы не полагаетесь на них, это лучший и единственный способ гарантировать, что Adobe не будет внедрять другое расширение в ваши системы в будущем.
- Добавить расширение Chrome в черный список с помощью Политики Chrome для устройств , Идентификатор расширения - efaidnbmnnnibpcajpcglclefindmkaj, и вы найдете возможность сделать это в групповой политике в разделе Компьютер> Политики> Административные шаблоны> Google> Google Chrome> Расширения> Черный список настроенных расширений (спасибо Достойная безопасность и Родился Город ). Однако занесение в черный список не помешает Adobe внедрить в системы другие расширения.
Теперь ваша очередь : Что ты думаешь об этом?