奧多比(Adobe)日前釋出的Acrobat Reader DC,當時已因未告知使用者會自動在Chrome瀏覽器上安裝擴充套件,以及會從遠端蒐集使用者資訊而頗受議論,如今又有安全研究人員發現該擴充套件存在跨站指令碼(XSS)漏洞,所幸Adobe已經修復。
Google旗下的資安團隊Project Zero研究人員發現,這個在未清楚告知使用者情況下便會安裝在Chrome瀏覽器的擴充套件,存在javascript程式碼執行漏洞,讓原本不應執行的程式碼可以被執行。
Adobe在上週釋出的新版Acrobat Reader DC軟體,原本是提供用戶瀏覽PDF等文件使用的閱讀器,過去都是獨立存在,但Adobe卻悄悄在使用者安裝的同時,也在Chrome瀏覽器上自動安裝擴充套件,讓使用者在透過Chrome開啟PDF文件時,改而透過該擴充套件開啟,由於Adobe還會透過該擴充套件蒐集用戶的瀏覽器、使用者使用情況等資料,一度引發外界議論。
Adobe表示,嚴肅看待Project Zero發現的漏洞,並已經完成修補,新下載的軟體已經沒有同樣的問題。