Adobe: Huckepack installierte Chrome-Erweiterung birgt Sicherheitslücke
Man könnte lachen, wäre es nicht so traurig. Wir berichteten neulich darüber, dass Adobe eine Acrobat-Erweiterung für Chrome Huckepack mitbringt. Die wird einfach installiert und – sofern vom Nutzer aktiviert – werden von Adobe direkt Daten gesammelt. Zur Verbesserung des Dienstes, na klar. Nun muss Adobe für diese Erweiterung mit zweifelhaftem Mehrwert gleich ein Update bringen. Huckepack mitgebracht und direkt verkackt. Sicherheitslücke unter Windows aufgetan. Diese wurde bekannt unter CVE-2017-2929.
Ein entfernter, nicht authentifizierter Angreifer kann mit Hilfe einer speziell präparierten Webseite, die von der Adobe Acrobat Extension for Chrome verarbeitet wird, einen Cross-Site-Scripting-Angriff durchführen und in der Folge unter anderem beliebigen JavaScript-Programmcode ausführen oder Datenschutzoptionen manipulieren.
Das Adobe Product Security-Team informiert über die Schwachstelle auf Windows-Systemen und stellt mittlerweile ein Sicherheitsupdate bereit. Das Sicherheitsupdate wird automatisch über den Chrome-Update-Prozess ausgeliefert und steht über den Chrome Web Store zum Download zur Verfügung (hahaha). Panik ist erst einmal nicht angebracht: Die Huckepack-Erweiterung musste ja vom Nutzer aktiviert worden sein – zudem die speziell präparierte Seite verarbeiten. Dennoch mal wieder so ein Ding, wo man denkt: Ach Mensch, Adobe schon wieder….
Einfach den Adobe-Schrott erst gar nicht mehr installieren. Die meisten User würden wunderbar allein mit den Bordmitteln von Windows 10 und Chrome auskommen. Da braucht es keine Zusatzsoftware.
Geschieht Google auch mal recht. Google Chrome und die Google Toolbar werden meistens mit der gleichen Methode automatisch bei Freeware-Installationen unerlaubt mitinstaliert und als Standard-Browser festgelegt. Adobe und Microsoft (bei Windows 10) wenden die gleiche Methode jetzt halt in die gegengesetzte Richtung an. Und ehrlichgesagt geht mir diese „Optimiert für Google Chrome, Jetzt Google Chrome installieren“-Werbung auf den Google Seiten, wenn man einen Nicht-Google Browser (IE/Edge/Firefox) verwendet mehr auf die Nerven als das was Adobe und Microsoft tun.
Davon abgesehen, dass die Datensammel-Aktion bei mir standardmäßig aktiviert war.
Ist eigentlich bekannt, wie Adobe die Erweiterung da reingeschmuggelt hat? Normalerweise deaktiviert Chrome ja erstmal Erweiterungen, die der Nutzer nicht aus dem Webstore geholt hat und fragt dann beim Programmstart nach…
…hab jetzt grad erst nochmal den letzten Satz gelesen – ich weiß nicht, wie das bei anderen ist, aber ich erinnere mich beim besten Willen nicht, diese Erweiterung manuell aktiviert zu haben.
Standardmäßig warnt Chrome auch explizit dabei und fragt nach. Wahrscheinlich hast du das versehentlich weggeklickt oder deaktiviert.