zurück zum Artikel

Adobe hat mit einem automatischen Acrobat-Update bei Nutzern ein Chrome-Plug-In installiert, welches eine nicht unerhebliche Sicherheitslücke aufweist.

Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen. Mittlerweile hat Adobe das Plug-In automatisch mit einem Update versorgt [1], welches die Lücke (CVE-2017-2929) stopft.

Entdeckt [2] hatte das Problem Google-Sicherheitsexperte Tavis Ormandy. Ormandy-typisch hatte er die Lücke öffentlich auf Twitter bekannt gemacht [3], nachdem der anonyme Sicherheitsforscher @SwiftOnSecurity [4] auf das sich automatisch installierende Plug-In hingewiesen hatte. Neben der konkreten Lücke weist Ormandy noch auf weitere Teile des Programmcodes hin, der seiner Ansicht nach unsicher sein könnte. Das Plug-In dient dazu, die aktuell in Chrome angezeigte Webseite in eine PDF-Datei zu konvertieren. Außerdem können Nutzer damit PDF-Dateien im Web per Knopfdruck in Adobe Acrobat öffnen. (fab [5])

URL dieses Artikels:
https://www.heise.de/-3603995

Links in diesem Artikel:
[1] https://helpx.adobe.com/security/products/acrobat/apsb17-03.html
[2] https://bugs.chromium.org/p/project-zero/issues/detail?id=1088
[3] https://twitter.com/taviso/status/821799140497584129
[4] https://twitter.com/SwiftOnSecurity
[5] mailto:contact@fab.industries

Copyright © 2017 Heise Medien