Adobe在上周放出了新版Acrobat Reader DC软件,作为当前一款非常流行的PDF文档阅读器,立刻吸引到众多网友纷纷下载使用。不过,来自Google信息安全团队Project Zero的研究人员发现,在下载新版Acrobat Reader DC软件的同时,其会在未清楚告知使用者情况下,自动在Chrome浏览器上安装Acrobat的扩展插件。
Acrobat Chrome浏览器插件曝出XSS漏洞
原本是提供用户浏览PDF等文件使用的阅读器Acrobat Reader DC,过去都是独立存在的,但在此前推出的更新版本中,用户会在不知情状态下被安装上Acrobat扩展插件。使用者在通过Chrome开启PDF文件时,会转而通过该扩展插件进行开启。由于Adobe会通过该扩展插件收集用户的上网及浏览器使用情况等数据,一度引起了不小的争议。
Acrobat Reader DC
然而事情并未结束,安全研究人员又发现该扩展插件还存在跨站脚本(XSS)漏洞,这让使用者面临着更大的安全威胁,包括盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号;控制企业数据,包括读取、篡改、添加、删除企业敏感数据的能力;盗窃企业重要的具有商业价值的资料;给网站挂马;控制受害者机器向其它网站发起攻击等等。
所幸Adobe对此也快速做出回应,表示将严肃看待Project Zero安全团队发现的此漏洞,并已着手进行了修复。现在网友再下载Acrobat Reader DC软件将会是安全的,不会遭受到上述安全威胁了。
如果此文章侵权,请留言,我们进行删除。0day
文章评论