Adobe Acrobat Chrome-Update reißt Sicherheitslücke

Adobe hat am 12. Januar 2017 über Auto-Update mal wieder (heimlich) die Installation einer Google-Chrome-Erweiterung erzwungen. Nach dem Update waren die Nutzer mit einer fetten Sicherheitslücke unterwegs – aber es gibt ein Update. Hier einige Hintergrundinformationen zur “unheiligen Adobe Allianz”.


Anzeige

Adobe ist zwischenzeitlich für mich ein No Go geworden. Da gibt es Flash (haben die vor langer Zeit von Macromedia als Kauf übernommen), welches als wandelnde Sicherheitslücke daherkommt. Im Artikel Cyber-Crime – die News zum Wochenstart (9.11.2017) kommt Flash, nach Android und Debian Linux, auf einen hervorragenden dritte Platz, was die Zahl der entdeckten Sicherheitslücken in 2016.

Adboe Reader Beifänge

Und es gibt die Danaergeschenke, die Adobe den Nutzern seiner Gratis-Software beim Download gerne macht. Auf der Download-Seite für Flash oder den Adobe Reader muss man als Nutzer vor dem Download die “Official offers” abwählen, um nicht irgendwelches McAfee-Geraffel (McAfee gehört zu Intel) oder was von Yahoo untergejubelt zu bekommen. Und es gibt die nicht abwählbaren – inoffiziellen Beigaben.

Da gab es doch schon mal was

Am 10. Januar 2017 hat Adobe ein Sicherheits-Update für die Adobe Reader-Familie freigegeben (siehe Adobe Januar 2017 Patchday: Flash und Reader). Wer sich das Update mit dem Adobe Reader DC auf einem Windows-System installiert, bekommt im Beifang heimlich eine Chrome-Extension installiert. Ich habe über den Fall in meinem Blog-Beitrag Acrobat Reader-Update installiert heimlich Chrome-Extension berichtet – und weil ich es erst nicht glauben wollte, in einer virtuellen Maschine nachgestellt.

Adboe Reader-Extension für Chrome

Selbst beim Chrome portable kommt die Chrome-Erweiterung auf das System – und in den Kommentaren der Blog-Leser kommt heraus, dass selbst ein fehlender Chrome-Browser kein Hindernis sei, die Erweiterung kommt auf das System.

Dass dieses “Geschenk” als “Laus im Pelz” daherkommt, hatte ich im verlinkten Artikel erwähnt. Denn die Adobe Acrobat-Chrome-Erweiterung kommt mit einem standardmäßig aktivierten Datenerfassungsmodus. Dieser soll anonymisierte Daten an Adobe über den verwendeten Browser (Typ/Version), Produktinformationen über Adobe-Software und die Benutzung dieser Produkte selbst senden. Das ist sicher nicht im Sinne eines jeden Nutzers. Und aus den Nutzerkommentaren geht hervor, dass die Erweiterung nach dem Löschen beim nächsten Neustart wieder komme. Aber wohlwollend könnte man sagen: Diese Geschenke gehören zur guten Tradition bei Adobe – ist ja schließlich alles gratis.

Auto-Update installiert neue HTML-zu-PDF-Konverter Chrome-Extension


Anzeige

Am 12. Januar 2017 gab es dann den nächsten Streich von Adobe. Benutzern des Adobe Reader DC (und ich denke auch des Adobe Acrobat) wurde per Auto-Update eine weitere Chrome-Erweiterung installiert.

Adboe Reader-Extension 2 für Chrome

Es handelt sich um diesen Konverter, der HTML-Seiten in PDF-Dokumente überführen kann. Keine Ahnung, ob man den wirklich braucht (ich habe entsprechende Druckertreiber auf meinem Windows 7 – und in neueren Windows-Versionen gibt es von Microsoft einen PDF-Drucker). Aber ich sage es mal so: Wer als Anwender diese Erweiterung glaubt, brauchen zu können, konnte sich diese aus dem App-Store für Chrome-Extension längst herunterladen.

Und ich hatte im Blog in diversen Beiträgen gezeigt, dass die berühmten Chrome-Erweiterungen oft riesige Sicherheitslücken in das System reißen. Man sollte also tunlichst die Finger von dem Zeugs lassen.

Ich hatte das gar nicht mitbekommen – aber nach einem Hinweis bei heise habe ich etwas recherchiert. Auf Twitter hatte die Sicherheitsspezialistin @SwiftOnSecurity auf diesen Umstand hingewiesen, diese Tweets aber später entfernt.

Schon schlimm genug, aber es geht noch weiter, wie man folgenden Zeilen entnehmen kann.

Installation heimlich, ohne Benutzerinteraktion

Ich war mir nicht ganz sicher, aber die Erweiterung wurde wohl heimlich, ohne Bestätigung des Benutzer und ohne weitere Dokumentation installiert. Dies entnehme ich diesem Tweet von @SwiftOnSecurity.

Das kennen wir ja von US-Softwareherstellern, obwohl das – in meinen Augen – bereits auf das das kriminelle Verhalten von Malware hinausläuft – diese nutzt genau diesen Ansatz, Funktionen heimlich zu installieren.

Sicherheitslücke in der neuen Chrome-Extension

Googles Sicherheitsforscher Tavis Ormandy hat sich die (wohl bei ca. 30 Millionen Adobe-Nutzern installierte) Chrome-Erweiterung darauf hin genauer angesehen und hier seine Erkenntnisse veröffentlicht. In der Erweiterung schlummert eine DOM XSS-Sicherheitslücke im Modul data/js/frame.html, die als (CVE-2017-2929) dokumentiert wurde.

Gelingt es einem Angreifer, den Benutzer auf eine präparierte Webseite zu locken (das ist Standard bei Phishing-Angriffen zur Verteilung von Malware), kann der Angreifer über die DOM XSS-Sicherheitslücke beliebigen JavaScript-Code zur Ausführung bringen. Na, denn Gratulation!

In einem Nachsatz weist Tavis Ormandy auf weitere Ungereimtheiten hin. Angreifer können so was wie: do x = window.open(); x.location = “new location”) einfügen und zur Ausführung bringen, so dass dem Opfer beliebige Seiten im Chrome-Browser angezeigt werden könne. Ormandy vermutet, dass die Chrome-Erweiterung noch nicht “feature complete” sei – weitere (negative) Überraschungen nicht ausgeschlossen.

Ein Patch von Adobe ist verfügbar

Aus der Konversation mit den Adobe-Entwickler geht hervor, dass bereits am 18. Januar 2017 ein Fix für die Chrome-Erweiterung Convert HTML to PDF durch Adobe herausgegeben wurde. Die Ankündigung findet sich im Adobe Security Bulletin APSB17-03 vom 19. Januar 2017. Die Verteilung erfolgt wohl seit dem 18. Januar 2017 per Chrome Auto-Updater, wie ich dem Security Bulletin entnehme.

Gruppenrichtlinien gegen den Adobe-Zirkus

Mein einfacher Ratschlag wäre, auf das Adobe-Zeugs schlicht zu verzichten – dann ist man ein Stück sicherer unterwegs. In Firmenumgebungen ist man aber teilweise auf diese Adobe Acrobat-Produkte angewiesen.

In meinem Blog-Beitrag Chrome for Work” Version 54.0.2840.99 nicht deinstallierbar hatte ich auf diese spezielle Variante für Firmenumgebungen hingewiesen. In einem Kommentar von mir gab es zudem den Hinweis, dass dort auch Gruppenrichtlinien möglich seien.

@SwiftOnSecurity, die als Systemadministrator in einem großen US-Unternehmen arbeitet, betreibt auch die Webseite decentsecurity.com. Dieser Beitrag von ihr geht auf Gruppenrichtlinien in Google Chrome ein. In einer Ergänzung beschreibt sie, wie sich das Injizieren von Adobe Chrome-Erweiterungen per Gruppenrichtlinie blockieren lässt.

In diesem Beitrag geht sie übrigens auf das Problem ein, dass der Adobe Auto-Updater  die Nutzer zur Installation von Updates auffordert und gibt den Tipp, dieses Auto-Update per GPO unter einem Administratorkonto im Hintergrund ablaufen zu lassen. Ist jetzt ein etwas längerer Beitrag geworden, ich wollte es aber nicht so “kommentarlos” ‘das ist passiert, hier ist das Update’ rauskippen.

Ähnliche Artikel:
Acrobat Reader-Update installiert heimlich Chrome-Extension
Adobe Januar 2017 Patchday: Flash und Reader
Windows 10 Insider Preview: Flash als Sicherheitslücke?
Flash-Player in Windows 8, 8.1, 10 deaktivieren
Google Chrome erlaubt in Windows nur noch Store-Apps


Anzeige
Dieser Beitrag wurde unter Google Chrome, Sicherheit, Windows abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu Adobe Acrobat Chrome-Update reißt Sicherheitslücke


  1. Anzeige
  2. Holger K. sagt:

    Danke für den ausführlichen Bericht. Ich schließe mich der Meinung an, dass man sowohl als Privatanwender als auch als Administrator in Unternehmen nach Möglichkeit um Software von Adobe einen weiten Bogen machen sollte. Bei solch einem Verhalten dieses Softwareherstellers bleibt einem auch gar nichts anderes übrig, als sich selbst zu schützen. Adobe scheint es weiterhin vollkommen egal zu sein, ob durch ausgenutzte Sicherheitslücken Benutzer zu schaden kommen oder nicht.

    Und heimlich untergejubelte Software ohne Einverständnis erfüllt in meinen Augen schon einen kriminellen Tatbestand.

    Zur Ansicht und Bearbeitung von PDF-Dateien gibt es mittlerweile genug Alternativen und Flash braucht mittlerweile sowieso fast keiner mehr. Die wenigen Webseiten, die jetzt noch Flash verlangen, sollte man ignorieren bzw. boykottieren.

    • Nils sagt:

      Problem ist eben, dass man in größeren IT-Umgebungen an dem Acrobat Zeug nicht vorbei kommt. Gibt leider genügend komplexe Umgebungen, die bestimmte Funktionen voraussetzen, welche die Alternativen nicht unterstützen. Gerade im SAP Umfeld.

      Aber keine Frage, für das private Umfeld gibt es genügend Alternativen, die völlig ausreichend sind. Foxit Reader, PDFsam und Co.

  3. Remo sagt:

    Sehr interessanter Bericht. Ich für meinen Teil mache schon seit geraumer Zeit einen weiten Bogen um die Adobe Sachen. Es gibt mittlerweile genügend gute Alternativen, welche völlig ausreichen.
    Am Längsten hat der FlashPlayer meine knurrende Duldung genossen. Aber der ist mittlerweile auch Geschichte. Seiten, welche den noch verlangen, haben mich auch gesehen.

  4. Anzeige

  5. Winfried Sonntag sagt:

    Leider kommt man ohne Adobe Zeug nicht aus, aber deshalb werde ich den Task nicht als SYSTEM laufen lassen. Per GPO den Task löschen, den zusätzlich installierten Dienst auf deaktiviert stellen und die Updates via WSUS/WPP den Clients zur Verfügung stellen. Meine Systeme sollen so wenig wie möglich nach außen kommunizieren.

    https://wsus.de/wpp

    BTW: Hier noch der Artikel bezüglich Flash Player: http://www.wsus.de/adobe_flash_player_ueber_wsus_bereitstellen Da ist noch mehr als ein Task und ein Dienst.

    • John Ripper sagt:

      Jope, ich verwende auch den WSUS Package Publisher. Damit kann man relativ gut und schnell diverse Software verteilen. Die Software eignet sich sehr gut für kleine bis mittelgroße Umgebungen.

      Zusätzlich habe ich entsprechende Chrome Polices gesetzt, sodass grds. keine Extensions installiert werden können bzw. ich installieren zwei Extensions grds. mit, was dann so aussieht:
      Computer, Verbindlich, Plattform, ExtensionInstallBlacklist, *, OK
      Computer, Verbindlich, Plattform, ExtensionInstallForcelist, Wert ausblenden, OK
      cfhdojbkjhnklbpkdaibdccddilifddb;https://clients2.google.com/service/update2/crx, boadgeojelhgndaghljhdicfkmllpafd;https://clients2.google.com/service/update2/crx

      Übrigens müsste man die Extension “efaidnbmnnnibpcajpcglclefindmkaj” auf die Blacklist setzen, damit man den Müll von Adobe unterbindet — wenn ich es korrekt gesehen habe. Kann natürlich sein, dass Adobe, dann andere Extensions pushed, da man ja nur gezielt blockt. Deswegen verwende ich den * Ansatz.

      • Winfried Sonntag sagt:

        Auf https://followthatpage.com/ Account einrichten und die passende URL angeben, schon wird man aktuell benachrichtigt, wenn sich etwas auf den Websites ändert.

        @John Ripper
        Danke für den Hinweis, die Policies von Chrome muss ich wohl aktualisieren. :)

        Nicht vergessen, Google Chrome bringt auch noch den einen oder anderen Dienst mit, auch das muss man per GPO deaktivieren.

        • John Ripper sagt:

          Man kann natürlich ExtensionInstallWhitelist (manuelle Freigabe jeder Extension) iVm “ExtensionInstallBlacklist” = * verwenden, aber es ist eben zusätzlicher Pflegeaufwand.

          Bei mir sind die Dienste “Google Update-Dienst (gupdate)” und “Google Update-Dienst (gupdatem)”deaktiviert.

  6. Dominik sagt:

    Adobe installiert also ohne Nachfrage Programme, die vordergründig von Nutzen sein sollen, aber hintergründig Lücken aufweisen. Für mich ist das absichtlich installierte Malware. Wie stünden denn die Chancen einer Strafanzeige gegen Adobe?

    • Dominik sagt:

      Hintergrund: ich finde es einfach unerhört, dass Softwareanbieter ungefragt weitere Software im Hintergrund installieren können, vor allem wenn diese auch noch gravierende Sicherheitslücken (manche würden auch Backdoors dazu sagen…) aufweisen. Eine Strafanzeige wäre hier m.E. gerechtfertigt und eine Verurteilung würde Hersteller zwingen, auf diesen Unsinn zukünftig zu verzichten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (SEO-Posts/SPAM lösche ich). Kommentare abseits des Themas bitte unter Diskussion.