Adobe installiert verwundbares Chrome-Plug-In bei 30 Millionen Nutzern
Adobe hat mit einem automatischen Acrobat-Update bei Nutzern ein Chrome-Plug-In installiert, welches eine nicht unerhebliche Sicherheitslücke aufweist.
Das Plug-In des Anstoßes
(Bild: Adobe)
- Fabian A. Scherschel
Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen. Mittlerweile hat Adobe das Plug-In automatisch mit einem Update versorgt, welches die Lücke (CVE-2017-2929) stopft.
Entdeckt hatte das Problem Google-Sicherheitsexperte Tavis Ormandy. Ormandy-typisch hatte er die Lücke öffentlich auf Twitter bekannt gemacht, nachdem der anonyme Sicherheitsforscher @SwiftOnSecurity auf das sich automatisch installierende Plug-In hingewiesen hatte. Neben der konkreten Lücke weist Ormandy noch auf weitere Teile des Programmcodes hin, der seiner Ansicht nach unsicher sein könnte. Das Plug-In dient dazu, die aktuell in Chrome angezeigte Webseite in eine PDF-Datei zu konvertieren. Außerdem können Nutzer damit PDF-Dateien im Web per Knopfdruck in Adobe Acrobat öffnen. (fab)
