Adobe lükkas ebaturvalise Adobe Acrobati laienduse Chrome'i süsteemidesse

• Kategooria: Google Chrome

Proovige Meie Instrumenti Probleemide Kõrvaldamiseks

Valige Operatsioonisüsteem Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Valige Projektsiooniprogramm (Valikuliselt) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Kirjeldage Oma Probleemi

Vastust Saama

Saada Mulle E -Posti Teel Näita Saidil

Kui Adobe andis jaanuaris välja ettevõtte Adobe Acrobat Reader DC tarkvara värskenduse, installiti see koos sellega Google Chrome'i brauserilaiend .

Seda funktsiooni ei olnud muudatuste loendis mainitud ja kasutajatel polnud võimalust installi blokeerida. Chrome'i turbemehhanism brauserilaiendite installimisel käivitus siiski ja blokeeris laienduse automaatse lubamise.

Sellegipoolest said kasutajad järgmisel korral Chrome'i avamisel viipasid, kus nad palusid lubada Chrome'is Adobe Acrobati laiendus või eemaldada see brauserist.

Laiend võimaldab kasutajatel muuta veebilehed PDF-dokumentideks. See hõlmab ka telemeetrilisi rutiine, mis on vaikimisi lubatud.

Ehkki on piisavalt halb, et Adobe tegi seda kasutajatele valikuvõimalusi andmata - laiendus sai siiski installida ja Chrome aktiveeris selle aktiveerimise -, läheb see veelgi hullemaks.

Selgub, et Chrome'i laiend, mille Adobe kasutaja süsteemidele välja lükkas, lisab süsteemidele ka rünnakuvektoreid, kui see on lubatud.

Google'i Tavis Ormandy otsustas laiendi allikat uurida ja leida JavaScripti koodi täideviga, mis seadis ohtu 30 miljoni süsteemi, millele laiendus installiti.

Eeldatavasti saate seda teha

window.open ('chrome-extension: //efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html? message =' + encodeURIComponent (JSON.stringify ({
panel_op: 'olek',
praegune_seis: 'rike',
teade: '

Tere

'
})));

Arvan, et CSP võib muuta võimatuks otse skriptide täitmise juurde liikumise, kuid võite mitte veebiaadressi_ressursse koondada ja seda hõlpsalt koodi täitmiseks pöörata või muuta privaatsussuvandid options.html kaudu.

Adobe vabastas probleemi parandus ja Adobe Acrobat for Chrome'i uusim versioon on paika pandud.

Adobe on välja lasknud Chrome'i jaoks Adobe Acrobat laienduse turvavärskenduse. See värskendus kõrvaldab saidiülese skriptimise haavatavuse, mida peetakse oluliseks ja mis võib põhjustada brauseris JavaScripti täitmise.

Korda

Adobe installis ettevõtte Adobe Acrobat Reader DC tarkvara värskenduse osana Chrome'i laienduse Adobe Acrobat ilma kasutaja sekkumiseta või ette teatamata. Pikendustelefonid varjavad telemeetriaandmeid ja sellega kaasnes tõsine turvaauk, mille kasutajad võivad ohvriks langeda. Adobe parandas haavatavuse kiiresti pärast seda, kui Google oli selle olemasolust teatanud.

Chrome'i veebipoe Adobe Acrobati laienduse lehel olevad kasutajate arvustused näitavad enamasti viha ja segadust sellest ajast peale, kui laiendust installiti vaikimisi kasutaja süsteemidesse.

Mida saate sellega teha

Teil on paar võimalust, kuid ainult üks tagab, et midagi sellist tulevikus enam ei kordu.

1. Ära tee midagi . Ei soovita.
2. Eemaldage kõik Adobe tooted oma arvutisüsteemidest. Kui te ei usalda neid, on see parim ja ainus võimalus tagamaks, et Adobe ei lükka tulevikus teie süsteemidele veel ühte laiendust.
3. Chrome'i laiendite must nimekiri kasutades Seadmete Chrome'i eeskirjad . Laienduse ID on efaidnbmnnnibpcajpcglclefindmkaj ja selle valiku leiate grupipoliitika alt Arvuti> Poliitikad> Administratiivmallid> Google> Google Chrome> Laiendused> Konfigureeritud pikenduse must nimekiri (aitäh Inimväärne turvalisus ja Sündinud linn ). Musta nimekirja lisamine ei takista Adobe-l teisi laiendusi süsteemidesse lükkamas.

Nüüd sina : Mida sa sellest arvad?