Adobe: Huckepack installierte Chrome-Erweiterung birgt Sicherheitslücke

Man könnte lachen, wäre es nicht so traurig. Wir berichteten neulich darüber, dass Adobe eine Acrobat-Erweiterung für Chrome Huckepack mitbringt. Die wird einfach installiert und – sofern vom Nutzer aktiviert – werden von Adobe direkt Daten gesammelt. Zur Verbesserung des Dienstes, na klar. Nun muss Adobe für diese Erweiterung mit zweifelhaftem Mehrwert gleich ein Update bringen. Huckepack mitgebracht und direkt verkackt. Sicherheitslücke unter Windows aufgetan. Diese wurde bekannt unter CVE-2017-2929.

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten Webseite, die von der Adobe Acrobat Extension for Chrome verarbeitet wird, einen Cross-Site-Scripting-Angriff durchführen und in der Folge unter anderem beliebigen JavaScript-Programmcode ausführen oder Datenschutzoptionen manipulieren.

Das Adobe Product Security-Team informiert über die Schwachstelle auf Windows-Systemen und stellt mittlerweile ein Sicherheitsupdate bereit. Das Sicherheitsupdate wird automatisch über den Chrome-Update-Prozess ausgeliefert und steht über den Chrome Web Store zum Download zur Verfügung (hahaha). Panik ist erst einmal nicht angebracht: Die Huckepack-Erweiterung musste ja vom Nutzer aktiviert worden sein – zudem die speziell präparierte Seite verarbeiten. Dennoch mal wieder so ein Ding, wo man denkt: Ach Mensch, Adobe schon wieder….

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram. PayPal-Kaffeespende.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Einfach den Adobe-Schrott erst gar nicht mehr installieren. Die meisten User würden wunderbar allein mit den Bordmitteln von Windows 10 und Chrome auskommen. Da braucht es keine Zusatzsoftware.

  2. Geschieht Google auch mal recht. Google Chrome und die Google Toolbar werden meistens mit der gleichen Methode automatisch bei Freeware-Installationen unerlaubt mitinstaliert und als Standard-Browser festgelegt. Adobe und Microsoft (bei Windows 10) wenden die gleiche Methode jetzt halt in die gegengesetzte Richtung an. Und ehrlichgesagt geht mir diese „Optimiert für Google Chrome, Jetzt Google Chrome installieren“-Werbung auf den Google Seiten, wenn man einen Nicht-Google Browser (IE/Edge/Firefox) verwendet mehr auf die Nerven als das was Adobe und Microsoft tun.

  3. Davon abgesehen, dass die Datensammel-Aktion bei mir standardmäßig aktiviert war.
    Ist eigentlich bekannt, wie Adobe die Erweiterung da reingeschmuggelt hat? Normalerweise deaktiviert Chrome ja erstmal Erweiterungen, die der Nutzer nicht aus dem Webstore geholt hat und fragt dann beim Programmstart nach…

  4. …hab jetzt grad erst nochmal den letzten Satz gelesen – ich weiß nicht, wie das bei anderen ist, aber ich erinnere mich beim besten Willen nicht, diese Erweiterung manuell aktiviert zu haben.

  5. Standardmäßig warnt Chrome auch explizit dabei und fragt nach. Wahrscheinlich hast du das versehentlich weggeklickt oder deaktiviert.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.