В начале текущего года пользователей стационарных компьютеров ждал очень неприятный сюрприз от компании Adobe. После установки очередного обновления программы Adobe Acrobat, используемой преимущественно для работы с PDF-файлами, пользователи обнаруживали в своем браузере Chrome новое расширение, которое к тому же оказалось еще и уязвимым.
Перед установкой расширение не спрашивало у владельца ПК никаких разрешений, не показывало уведомлений, так что загружалось оно на компьютер скрыто без непосредственного участия самого пользователя. После следующего запуска на ПК браузера Chrome демонстрировалось сообщение о том, что в него добавлено новое расширение Acrobat.
По своим функциональным возможностям и выполняемым задачам оно совершено ничем не отличается от того расширения, которое имеется в официальном интернет-магазине приложений Web Store. При активации в браузере Acrobat запрашивает у пользователя массу разрешений, в том числе на обработку и изменение данных. Но один запрос очень сильно насторожил пользователей. Как оказалось, по умолчанию в расширении активирована функция сбора данных о пользователе. В компании поясняют, что вся собранная информация необходима для улучшения работы фирменных сервисов. Данные собираются только в обезличенной форме, так что никакой личной информации в руки Adobe не попадает. К тому же у пользователей остается возможность отключить или вовсе удалить приложение. Тем не менее многие пользователи остались недовольны такой скрытой установкой расширения в их браузер. А чуть позже эксперт по безопасности Тевис Орманди еще и сообщил, что Acrobat для Chrome может нести скрытую угрозу. В ходе только лишь беглого просмотра кода расширения специалисту сразу же удалось обнаружить в нем серьезный XSS-баг.
Компании сразу же стало известно об обнаруженной уязвимости в течении всего нескольких дней брешь была устранена.