Cuando Adobe publicó una actualización del software de la compañía Adobe Acrobat Reader DC en enero, instaló junto con él una extensión del navegador para Google Chrome.
Esta “característica” no se mencionaba en el registro de cambios, y los usuarios no tenían la opción de bloquear la instalación. Sin embargo, el mecanismo de seguridad de Chrome para la instalación de las extensiones de los navegadores sí se activó y bloqueó que la extensión se habilitara automáticamente.
Aún así, los usuarios recibieron un aviso la próxima vez que abrieron Chrome que les pedía que habilitaran la extensión de Adobe Acrobat en Chrome, o que la eliminaran del navegador.
La extensión permite a los usuarios convertir las páginas web en documentos PDF. También incluye rutinas de telemetría que están habilitadas por defecto.
Aunque ya es bastante malo que Adobe lo haya hecho sin dar a los usuarios la posibilidad de elegir, la extensión se instaló después de todo y fue Chrome quien bloqueó su activación, se pone aún peor.
Resulta que la extensión de Chrome que Adobe ha extendido a los sistemas de los usuarios también añade vectores de ataque a los sistemas si está activada.
Tavis Ormandy de Google decidió buscar en la fuente de la extensión, y encontró un error de ejecución de código JavaScript que puso en riesgo los entonces 30 millones de sistemas en los que la extensión estaba instalada.
Presumiblemente puedes hacer
window.open(“chrome-extension://efaidnbmnnnibpcajpcglclefindmkaj/data/js/frame.html?message=” + encodeURIComponent(JSON.stringify({