אדובי דחפה את הרחבת Adobe Acrobat הלא בטוחה למערכות Chrome

• קטגוריה: גוגל כרום

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

כאשר Adobe פרסמה בינואר עדכון עבור תוכנת Adobe Acrobat Reader DC של החברה, היא התקינה יחד איתה הרחבת דפדפן עבור Google Chrome .

'תכונה' זו לא הוזכרה ב- changelog, ולמשתמשים לא הייתה אפשרות לחסום את ההתקנה. מנגנון האבטחה של Chrome בכל הקשור להתקנת תוספי דפדפן אכן נכנס פנימה וחסם את הפעלת התוסף באופן אוטומטי.

ועדיין, המשתמשים קיבלו הנחיה בפעם הבאה שהם פתחו את Chrome שביקשו מהם לאפשר את סיומת Adobe Acrobat ב- Chrome, או להסיר אותו מהדפדפן.

התוסף מאפשר למשתמשים להפוך דפי אינטרנט למסמכי PDF. זה כולל גם שגרות טלמטריה שמופעלות כברירת מחדל.

אמנם גרוע מספיק שאדובי עשתה זאת מבלי לתת למשתמשים אפשרות בחירה - הסיומת הותקנה אחרי הכל וזה כרום שאכן חסם את הפעלתה - זה מחמיר עוד יותר.

מתברר, סיומת Chrome ש- Adobe דחפה למערכות משתמשים מוסיפה גם וקטורי התקפה למערכות אם מופעלת.

טוויס אורמנדי של גוגל החליט כדי לבדוק את המקור של התוסף, ומצא באג ביצוע קוד JavaScript שגרם לסכנה את 30 מיליון המערכות שאליה הותקן התוסף.

יש להניח שאתה יכול לעשות

windows.open ('chrome-extension: //efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html? message =' + encodeURIComponent (JSON.stringify ({
panel_op: 'סטטוס',
current_status: 'כישלון',
הודעה: '

שלום

'
})));

אני חושב ש- CSP עלול לגרום לכך שאי אפשר לקפוץ ישר לביצוע סקריפט, אבל אתה יכול iframe שאינם web_accessible_resources, ולהפנות אותו בקלות לביצוע קוד, או לשנות אפשרויות פרטיות באמצעות options.html וכו '.

אדובי אכן שחרר תיקון לבעיה, והגרסה העדכנית ביותר של Adobe Acrobat עבור Chrome מתוקנת.

Adobe פרסמה עדכון אבטחה עבור סיומת Adobe Acrobat עבור Chrome. עדכון זה מטפל בפגיעות של סקריפטים בין אתרים המדורגים חשובים העלולים להוביל לביצוע JavaScript בדפדפן.

לסכם

Adobe התקינה את סיומת Chrome Adobe Acrobat ללא אינטראקציה עם משתמשים או הודעה מוקדמת כחלק מעדכון עבור תוכנת Adobe Acrobat Reader DC של החברה. ההרחבה מטלפנת הביתה עם נתוני טלמטריה, והיא אכן הציגה פגיעות אבטחה קשה שמשתמשים עלולים ליפול קורבן לה. אדובי אכן תיקן את הפגיעות במהירות לאחר שהודע על ידי גוגל על ​​קיומה.

ביקורות משתמשים בדף התוסף Adobe Acrobat בחנות האינטרנט של Chrome מראים כעס ובלבול לרוב מאז שהותקנה התוסף בשקט במערכות משתמשים.

מה אתה יכול לעשות בקשר לזה

יש לך כמה אפשרויות, אך רק אחת מוודאת שמשהו כזה לא יקרה שוב בעתיד.

1. לעשות כלום . לא מומלץ.
2. הסר את כל מוצרי Adobe ממערכות המחשבים שלך. אם אינך סומך עליהם, זוהי האפשרות הטובה והיחידה להבטיח כי Adobe לא תדחוף בעתיד הרחבה נוספת למערכות שלך.
3. הרשימה השחורה של סיומת Chrome באמצעות מדיניות Chrome למכשירים . מזהה התוסף הוא efaidnbmnnnibpcajpcglclefindmkaj, ואתה מוצא את האפשרות לעשות זאת במדיניות קבוצתית תחת מחשב> מדיניות> תבניות ניהול> Google> Google Chrome> תוספים> רשימה שחורה מוגדרת של תוסף (תודה ביטחון הגון ו עיר נולד ). הרישום השחור לא ימנע מ- Adobe לדחוף הרחבות אחרות למערכות.

עכשיו אתה : מה אתה חושב על זה?