محققان پروژه‌ی Zero گوگل کشف کردند افزونه‌ی گوگل کروم که ادوبی هفته‌ی قبل به‌طور مخفیانه در به‌روزرسانی امنیتی خود قرار داده بود، دارای آسیب‌پذیری XSS است. شرکت ادوبی پس از اطلاع از وجود این آسیب‌پذیری، بی‌سروصدا آن را وصله کرد.

در به‌روزرسانی امنیتی که شرکت ادوبی در ۲۱ دی ماه برای محصولات آکروبات و ریدر منتشر کرد، ۲۹ آسیب‌پذیری وصله شد. با این‌حال برخی از کاربران از این ماجرا گله می‌کردند که ادوبی یک افزونه‌ی گوگل کروم را در مرورگرهای آن‌ها نصب کرده است. این افزونه برای تبدیل صفحه‌ی وب به سند پی‌دی‌اف استفاده می‌شود.

این افزونه که تنها بر روی سامانه‌های ویندوزی کار می‌کند از کاربر مجوزهایی را برای دسترسی به داده‌های وب‌گاه‌های بازدیدی، مدیریت بارگیری‌ها و ارتباط با برنامه‌های جانبی درخواست می‌کند. این افزونه همچنین داده‌هایی را از سامانه‌ی کاربران جمع‌آوری می‌کند و ادوبی ادعا کرده این جمع‌آوری داده شامل اطلاعات شخصی افراد نمی‌شود.

این افزونه نزدیک به ۳۰ میلیون بار نصب شده است. پس از بررسی‌ها مشخص شد که افزونه تحت تأثیر آسیب‌پذیری XSS قرار گرفته است و به اسناد جاوا اسکریپت با امتیازات سطح بالا، اجازه‌ی اجرا شدن را می‌دهد. کارشناسان امنیتی این آسیب‌پذیری را با درجه‌ی اهمیت جدی طبقه‌بندی کردند.

این آسیب‌پذیری در ۲۳ دی ماه به شرکت ادوبی گزارش شده و پس از چند روز وصله شد. این اولین بار نیست که محققان امنیتی در افزونه‌های مرورگرها آسیب‌پذیری کشف می‌کنند. تقریباً یک سال قبل، کارشناسان نشان دادند یک افزونه‌ که به‌طور خودکار توسط ضدبدافزار AVG نصب شده بود، تمامی اطلاعات تاریخچه‌ی مرورگر و اطلاعات شخصی کاربران را افشاء می‌کرد.

منبع : asis

گردآوری و انتشار : آنتی ویروس دکتر وب