Adobe es una de las compañías que mayores vulnerabilidades instalan en los ordenadores de sus usuarios a través de su software, tanto Flash Player, el obsoleto complemento web, como Reader, el visor de documentos PDF. Mientras que es muy importante mantener todas las aplicaciones, especialmente las más vulnerables como estas, actualizadas a las últimas versiones, en ocasiones actualizar estas aplicaciones puede ser peor que no hacerlo, y eso es lo que ha pasado con las últimas actualizaciones de esta compañía.
Hace poco más de una semana, Adobe publicaba los habituales parches de seguridad para todos sus productos. Además de las actualizaciones de Flash, la compañía actualizó sus herramientas Acrobat y Reader para solucionar también una lista de vulnerabilidades en las mismas. Sin embargo, para empezar bien el 2017, Adobe aprovechó dicha actualización para instalar de forma silenciosa una extensión telemétrica, espía, en los navegadores Google Chrome de los usuarios que instalaran dicha actualización.
Project Zero, el grupo de hackers de Google especializado en encontrar, reportar y publicar vulnerabilidades de todo tipo de software, ha encontrado una vulnerabilidad, considerada como “crítica”, en esta nueva extensión de Adobe. Este fallo de seguridad es del tipo XSS (cross-site scripting) y puede permitir a un atacante ejecutar fácilmente código JavaScript en el navegador de cualquier usuario que haya instalado esta extensión. La naturaleza de la vulnerabilidad también puede hacer que un atacante modifique las opciones, por ejemplo, de seguridad o privacidad, del navegador.
Adobe ya ha actualizado esta vulnerabilidad, pero su extensión para Google Chrome sigue espiando igualmente
Adobe ya ha actualizado si extensión solucionando este fallo de seguridad, sin embargo, viendo el resto de productos de la compañía, estamos seguros de que esta extensión espía aún dará mucho de qué hablar en términos de seguridad. Esta extensión ha sido desarrollada, en un principio, para facilitar la tarea de guardar una página web cualquiera como un documento PDF, sin embargo, su principal problema (además de esta vulnerabilidad) es los permisos que pide al navegador, entre los que destacan leer y cambiar todos los datos de todas las webs que visitamos, así como gestionar nuestras descargas y comunicarse con otras aplicaciones instaladas en nuestro ordenador.
Os recordamos que podéis desinstalar esta extensión en cualquier momento accediendo al apartado “chrome://extensions/” de nuestro navegador, localizándola en la lista y hacer clic sobre el botón de la papelera. Si por el contrario te fías de Adobe y quieres instalar esta extensión sin depender de Acrobat o Reader, desde la Chrome Store también se puede descargar.
Fuente: https://www.redeszone.net/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad