В январе 2017 года компания Adobe преподнесла пользователям весьма неприятный сюрприз: вместе с обновлением Acrobat Reader на машины пользователей, без всякого предупреждения установилось расширение Adobe Acrobat для браузера Chrome. Весь процесс его установки был скрыт, зато при следующем запуске браузера пользователя поджидало неожиданное известие о добавлении нового расширения.
Установленное принудительно расширение ничем не отличается от версии из официального каталога Chrome Web Store. Оно запрашивает разрешения на чтение и изменение данных на посещаемых сайтах, доступ к управлению загрузками, а также хочет иметь возможность общаться с нативными приложениями. Кроме того, по умолчанию у расширения Adobe Acrobat включен анонимный сбор данных об использовании. Собранная информация затем будет применяться для «улучшения продукции Adobe». Последнее обстоятельно возмутило многих пользователей, но, к счастью, возможность отключить расширение или удалить его вовсе никуда не делась.
I took a quick look at the extension. There was an easy privileged javascript code execution bug. Sigh. https://t.co/9Ka4y5r43M https://t.co/Wi6OVmYM5q
— Tavis Ormandy (@taviso) January 18, 2017
Эксперт Google Project Zero Тевис Орманди (Tavis Ormandy) сообщил о том, что Acrobat для Chrome не только раздражает, но и представляет угрозу. Исследователь пишет, что даже беглый осмотр плагина выявил XSS-баг в его коде. В отчете об ошибке Орманди объясняет:
«Полагаю, CSP [Content Security Policy] не позволит незамедлительно перейти к выполнению скрипта, но если использовать iframe для не web_accessible_resources, можно с легкостью организовать выполнение кода, сменить настройки privacy через options.html и так далее».
Исследователь уведомил разработчиков Adobe о проблеме 12 января 2017 года, и через пару дней баг уже был исправлен. Стоит отметить, что согласно официальной статистике, расширение установлено более 30 млн раз.