Adobe: Huckepack installierte Chrome-Erweiterung birgt Sicherheitslücke

20. Januar 2017 Kategorie: Backup & Security, geschrieben von: caschy

Man könnte lachen, wäre es nicht so traurig. Wir berichteten neulich darüber, dass Adobe eine Acrobat-Erweiterung für Chrome Huckepack mitbringt. Die wird einfach installiert und – sofern vom Nutzer aktiviert – werden von Adobe direkt Daten gesammelt. Zur Verbesserung des Dienstes, na klar. Nun muss Adobe für diese Erweiterung mit zweifelhaftem Mehrwert gleich ein Update bringen. Huckepack mitgebracht und direkt verkackt. Sicherheitslücke unter Windows aufgetan. Diese wurde bekannt unter CVE-2017-2929.

Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten Webseite, die von der Adobe Acrobat Extension for Chrome verarbeitet wird, einen Cross-Site-Scripting-Angriff durchführen und in der Folge unter anderem beliebigen JavaScript-Programmcode ausführen oder Datenschutzoptionen manipulieren.

Das Adobe Product Security-Team informiert über die Schwachstelle auf Windows-Systemen und stellt mittlerweile ein Sicherheitsupdate bereit. Das Sicherheitsupdate wird automatisch über den Chrome-Update-Prozess ausgeliefert und steht über den Chrome Web Store zum Download zur Verfügung (hahaha). Panik ist erst einmal nicht angebracht: Die Huckepack-Erweiterung musste ja vom Nutzer aktiviert worden sein – zudem die speziell präparierte Seite verarbeiten. Dennoch mal wieder so ein Ding, wo man denkt: Ach Mensch, Adobe schon wieder….


Anzeige: Der neue Karriereservice von Caschys Blog in Kooperation mit Instaffo. Lass dich von Unternehmen finden. Jetzt kostenfrei anmelden!

Über den Autor: caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, XING, Linkedin, Instagram und YouTube. Persönliches Blog. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Carsten hat bereits 24347 Artikel geschrieben.