image

Stilletjes geïnstalleerde Adobe Acrobat-extensie bevat lek

donderdag 19 januari 2017, 09:26 door Redactie, 9 reacties

Een extensie voor Google Chrome die onlangs stilletjes via een beveiligingsupdate voor Adobe Reader en Acrobat werd geïnstalleerd en op zo'n 30 miljoen computers staat bevat een beveiligingslek waardoor aanvallers code en scripts kunnen uitvoeren, alsmede privacyinstellingen kunnen wijzigen.

Dat ontdekte Google-beveiligingsonderzoeker Tavis Ormandy. Op dinsdag 10 januari bracht Adobe een beveiligingsupdate uit voor ernstige kwetsbaarheden in Adobe Acrobat en Adobe Reader. Zonder te melden werd er ook een Adobe-extensie voor Google Chrome geïnstalleerd. De extensie, die ook via de Chrome Web Store is te downloaden, laat gebruikers pdf-bestanden met Adobe Reader of Acrobat openen en websites als pdf-bestand opslaan.

Omdat de extensie in dit geval via de beveiligingsupdate van Adobe stilletjes wordt geïnstalleerd krijgen gebruikers bij het starten van Chrome eerst de vraag of ze de extensie ook willen inschakelen. Dit is een maatregel die Google aan Chrome heeft toegevoegd om de automatische activatie van kwaadaardige extensies te voorkomen. De Adobe-extensie vraagt daarbij toegang om alle gegevens op bezochte websites te lezen en aan te passen, downloads van de gebruiker te beheren en met andere applicaties te communiceren.

Sinds de update uitkwam is het aantal installaties van de extensie met zo'n 20 miljoen toegenomen. Ormandy besloot kort naar de extensie te kijken en ontdekte meteen al een kwetsbaarheid waardoor een aanvaller via de extensie JavaScript-code kan uitvoeren. Volgens Ormandy zou het ook mogelijk moeten zijn om op deze manier kwaadaardige code uit te voeren of privacyinstellingen te wijzigen. Gisteren waarschuwde Ormandy Adobe voor het probleem, waarvoor op dezelfde dag een update verscheen.

Reacties (9)
19-01-2017, 09:36 door Anoniem

De Adobe-extensie vraagt daarbij toegang om alle gegevens op bezochte websites te lezen en aan te passen, downloads van de gebruiker te beheren en met andere applicaties te communiceren.

Zijn echt de extensies die je stilletjes wilt hebben.

Wordt hoog tijd dat regelgeving komt tegen het data graaien, dan maar geen Google, Facebook, etc... Half Nederland krijgt dan waarschijnlijk een "cold turkey" en een heleboel websites die 'huilie huilie' gaan doen, dat wil ik dan graag van dichtbij meemaken!
19-01-2017, 10:12 door Anoniem
Dus, dit betekend letterlijk de dood voor Adobe. Ze kunnen gewoon geen veilige software maken. En dan ook nog eens heel smerig als adware in je browser toevoegen.

Ik stel voor dat Google en Mozilla Adobe gaan weren. Ook hun DRM oplossing, want ook die zal dan wel niet veilig zijn.

In iedergeval komt er bij mij een blok op alle domeinen van Adobe. Jammer dan, weg moet die troep!

TheYOSH
19-01-2017, 11:11 door Anoniem
heeft er iemand tips om bij deployment van een msi de installatie van die extensie tegen te gaan?
19-01-2017, 11:17 door Anoniem
Stilletjes software installeren, dat heet gewoon malware. Maar ja, er zijn ook mensen die nog Sony producten kopen ondanks dat ze ooit een rootkit installeerde.

@TheYosh
Een *adobe.com blokkade heb ik al jaren naar volle tevredenheid.
19-01-2017, 12:58 door Anoniem
Je zou bijna denken dat Adobe een backdoor gepushed heeft voor de NSA... Bijna.
19-01-2017, 14:48 door Anoniem
Door Anoniem: Je zou bijna denken dat Adobe een backdoor gepushed heeft voor de NSA... Bijna.

Heh, dacht ik ook even aan, maar heb het weer verworpen. De code is te dom.
19-01-2017, 15:03 door Reinder
Door Anoniem: Je zou bijna denken dat Adobe een backdoor gepushed heeft voor de NSA... Bijna.

Nah, die lui bij de NSA zijn veel beter en subtieler. Ik denk dat in dit geval Hanlon's razor opgaat: "Never attribute to malice that which is adequately explained by stupidity". Adobe heeft een geschiedenis en een reputatie op het gebied van het introduceren van beveiligingslekken. Het is onwaarschijnlijk hoeveel bugs en lekken dat bedrijf kan stoppen in een applicatie om een document te lezen.
19-01-2017, 20:07 door Anoniem
Door Anoniem: Dus, dit betekend letterlijk de dood voor Adobe. Ze kunnen gewoon geen veilige software maken. En dan ook nog eens heel smerig als adware in je browser toevoegen.

Dat is al jaren duidelijk, mag hopen dat die adobe rommel ooit gewoon dor het OS geweigerd gaat worden.

Maar ja, er zijn ook mensen die nog Sony producten kopen ondanks dat ze ooit een rootkit installeerde.
Dat was fout, maar om dan maar meteen al hun doorgaans uitstekende producten te weigeren.

Wordt trouwens lastig video editen als zowel Sony Vegas als Adobe Premiere niet meer 'mogen' :/
19-01-2017, 22:33 door Anoniem
'Getest'

Ouder testsysteem en adobe reader voor dat systeem gedownload.
Laatste versie 11.0.10 gedownload, hoogst beschikbare dan (kuch *)
Na installatie zie ik dat er een adobe reader plugin is toegevoegd aan de internet extensies map.
Dat betekent in dit geval dat elke browser dat geen eigen plugins heeft uit deze map put en dus de adobe reader extensie op neemt zonder dat je daar erg in hebt.

Van wanneer is die extensie dan die ik zojuist heb geïnstalleerd?
3 december 2014 !
Dit automatisch installeren van extra software gebeurt dus al jaren.

Zegt het license agreement daar iets over?
Nou dat is ook toevallig..

Installer text
Browser plug-in for Safari 5.1.x and later is supported on 64 bit Intel processor only.

License agreement kan je schuin doorbladeren, wie leest het allemaal echt?
7 pagina's, een deeltje om te weten waar je aan begint (qua privacy)

Niet voor dislecticy

7. Connectivity and Privacy. You acknowledge and agree to the following:
7.1 Use of PDF Files. When you Use the Software to open a PDF file that has been enabled to display ads, your Computer may connect to a website operated by Adobe, an advertiser, or other third party. Your Internet Protocol address (“IP Address”) is sent when this happens. The party hosting the site may use technology to send (or “serve”) advertising or other electronic content that appears in or near the opened PDF file. The website operator may also use JavaScript, web beacons (also known as action tags or single-pixel gifs), and other technologies to increase and measure the effectiveness of advertisements and to personalize advertising content. Your communication with Adobe websites is governed by the Adobe Online Privacy Policy found at http://www.adobe.com/go/privacy (“Adobe Online Privacy Policy”). Adobe may not have access to or control over features that a third party may use, and the information practices of third party websites are not covered by the Adobe Online Privacy Policy.
7.2 Updating. If your Computer is connected to the Internet, the Software may, without additional notice, check for Updates that are available for automatic download and installation to your Computer and let Adobe know the Software is successfully installed. For Reader, Updates may be automatically downloaded but not installed without additional notice unless you change your preferences to accept automatic installation. Only non-personally identifying information is transmitted to Adobe when this happens, except to the extent that IP Addresses may be considered personally identifiable in some jurisdictions. The use of such information, including your IP Address, as provided by the auto update process is governed by the Adobe Online Privacy Policy. Please consult the Documentation for information about changing default update settings, or online at http://www.adobe.com/go/settingsmanager for Flash Player,http://www.adobe.com/go/update_details_url (or successor website) for Reader, and http://www.adobe.com/go/air_update_details andhttp://airdownload.adobe.com/air/applications/SettingsManager/SettingsManager.air for Adobe AIR.
7.3 Local Storage. Flash Player and Adobe AIR may allow third parties to store certain information on your Computer in a local data file known as a local shared object. The type and amount of information that the third party application requests to be stored in a local shared object can vary by application and such requests are solely controlled by the third party. You can find more information on local shared objects at http://www.adobe.com/go/flashplayer_security. For more information on how to limit or control the storage of local shared objects on your Computer, please visit http://www.adobe.com/go/settmgr_storage_en.
7.4 Settings Manager. Flash Player and Adobe AIR may cause certain user settings to be stored on your Computer as a local shared object. These settings are associated with the instance of Flash Player or Adobe AIR on your Computer, but do not contain personally identifiable information associated with you, and allow you to configure certain settings within the Flash Player including the ability to limit third parties from storing local shared objects. You can find more information on how to configure your version of Flash Player or Adobe AIR, including how to disable local shared objects in the Settings Manager for Flash Player, at http://www.adobe.com/go/settingsmanager, orhttp://airdownload.adobe.com/air/applications/SettingsManager/SettingsManager.air for Adobe AIR.
7.5 Peer Assisted Networking Technology. Adobe Flash Player and Adobe AIR runtimes provide the ability for applications built by third parties to connect to an Adobe Server or Service and permit direct communication between two Adobe Runtime clients or to connect an Adobe Runtime client as part of a peer or distributed network that allows a portion of your resources, such as network bandwidth, to be made directly available to other participants. Prior to joining such peer or distributed network, you will be provided with the opportunity to accept such connectivity. To manage Peer Assisted Networking settings, please go to the Settings Manager at http://www.adobe.com/go/settmgr_networking_en. You can find more information on Peer Assisted Networking at http://www.adobe.com/go/RTMFP.
7.6 Content Protection Technology. If you Use the Adobe Runtimes to access content that has been protected with Adobe Flash Media Rights Management Server or Flash Access software (“Content Protection”), in order to let you play the protected content, the Software may automatically request media usage rights and individualization rights from a rights server on the Internet, and may download and install required components of the Software, including any available Content Protection Updates. You can find more information on Content Protection at http://www.adobe.com/go/protected_content.
7.7 Use of Adobe Online Services. If your Computer is connected to the Internet, the Software may, without additional notice and on an intermittent or regular basis, facilitate your access to content and services that are hosted on websites maintained by Adobe or its affiliates (“Adobe Online Services”). Examples of such Adobe Online Services might include, but are not limited to: Acrobat.com. In some cases an Adobe Online Service might appear as a feature or extension within the Software even though it is hosted on a website. In some cases, access to an Adobe Online Service might require a separate subscription or other fee in order to access it, and/or your assent to additional terms of use. Adobe Online Services might not be available in all languages or to residents of all countries and Adobe may, at any time and for any reason, modify or discontinue the availability of any Adobe Online Service. Adobe also reserves the right to begin charging a fee for access to or use of an Adobe Online Service that was previously offered at no charge. If your Computer is connected to the Internet, the Software may, without additional notice, update downloadable materials from these Adobe Online Services so as to provide immediate availability of these Adobe Online Services even when you are offline. When the Software connects to the Internet as a function of an Adobe Online Service, your IP Address, user name, and password may be sent to Adobe’s servers and stored by Adobe in accordance with the Additional Terms of Use or the “help” menu in the Software. This information may be used by Adobe to send you transactional messages to facilitate the Adobe Online Service. Adobe may display in-product marketing to provide information about the Software and other Adobe products and Services, including but not limited to Adobe Online Services, based on certain Software specific features including but not limited to, the version of the Software, including without limitation, platform version, version of the Software, and language. For further information about in-product marketing, please see the “help” menu in the Software. Whenever the Software makes an Internet connection and communicates with an Adobe website, whether automatically or due to explicit user request, the Adobe Online Privacy Policy shall apply. Additionally, unless you are provided with separate terms of use at that time, the Adobe.com Terms of Use (http://www.adobe.com/go/terms) shall apply. Please note that the Adobe Privacy Policy allows tracking of website visits and it addresses in detail the topic of tracking and use of cookies, web beacons, and similar devices.
8. Third Party Offerings. You acknowledge and agree to the following:
8.1 Third Party Offerings. The Software may allow you to access and interoperate with third party content, software applications, and data services, including rich Internet applications (“Third Party Offerings”). Your access to and use of any Third Party Offering, including any goods, services, or information, is governed by the terms and conditions respecting such offerings and copyright laws of the United States and other countries. Third Party Offerings are not owned or provided by Adobe. You agree that you will not use any of such Third Party Offerings in violation of copyright laws of the United States or other countries.Adobe or the third party may at any time, for any reason, modify or discontinue the availability of any Third Party Offerings. Adobe does not control, endorse, or accept responsibility for Third Party Offerings. Any dealings between you and any third party in connection with a Third Party Offerings, including such party’s privacy policies and use of your personal information, delivery of and payment for goods and services, and any other terms, conditions, warranties, or representations associated with such dealings, are solely between you and such third party. Third Party Offerings might not be available in all languages or to residents of all countries and Adobe or the third party may, at any time and for any reason, modify or discontinue the availability of any Third Party Offerings.
8.2 EXCEPT AS EXPRESSLY AGREED BY ADOBE OR ITS AFFILIATES OR A THIRD PARTY IN A SEPARATE AGREEMENT, YOUR USE OF ADOBE AND THIRD PARTY OFFERINGS IS AT YOUR OWN RISK UNDER THE WARRANTY AND LIABILITY LIMITATIONS OF SECTIONS 1.1 AND 10.

Leuk hè een pdf reader die 492mb hardwarespace inneemt en direct verbinding maakt met 6 ip adressen als je de reader opent en ook nog reclamefunctionaliteit bevat!

Adobe producten?
Doe er maar een firewall bij en donder die pdf plugin direct weer uit je browser.

Gebruik voor een pdf reader een standalone reader die niet populair is en niet getarget wordt door malware makers.
Dat scheelt al een hele security slok op een borrel (en een halve GB harddisspace).

Adobe installeert dus al jaren die pdf plugin maar het is blijkbaar ineens groot privacy nieuws als ze verschijnt in de allergrootste beste privacy browser van onze grootste privacy vrienden.
tssssssss…., get real.

En ja, plugins moet je ook updaten en dat gebeurt sowieso bar weinig.
Onder andere omdat de meeste browsermakers geen goede functionaliteit bieden om al die soorten al dan niet exotische plugins ook up to date te houden!

Het nieuws zou dus in de eerste plaats moeten zijn : browsers bieden onvoldoende standaard bescherming tegen onveilige niet up to date plugins.
Lekken komen voor, dat is op zich te overzien als het maar gepatcht en geüpdatet wordt!
En plugins worden over het algemeen heel slechts geüpdatet door gebruikers zelf.
De heisa rond de adobe reader plugin is dus een relatief klein issue, ze is de enge niet en het gebeurt al jaren.
Maar omdat een browser er ineens voor waarschuwt worden we wakker, zegt dat iets over 'onze' collectieve security awareness dat het nu pas een discussie wordt?

Stilletjes, ja stilletjes al jaren niet opgelet.


* https://en.wikipedia.org/wiki/Adobe_Acrobat_version_history
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.