Avec sa dernière mise à jour d'Adobe Acrobat et Reader, Adobe a intégré de manière discrète une extension pour Google Chrome sur Windows. Dénommée Adobe Acrobat, cette extension est installée de manière automatique, même si elle n'est toutefois pas activée par défaut. Le navigateur signale en effet sa présence.
L'extension permet d'ouvrir les fichiers PDF dans l'application Acrobat Reader sur l'ordinateur, convertir une page Web en un fichier PDF. Plusieurs utilisateurs ont trouvé assez dérangeante cette installation automatique qui se fait de manière relativement insidieuse, ainsi que l'envoi de données d'usage. Ils ont une raison de plus de pester.
Chercheur en sécurité chez Google (Project Zero qui réunit des hackers d'élite), Tavis Ormandy a une nouvelle fois sévi. Titillé par tout ce tumulte, il a examiné le code de l'extension controversée et a mis au jour une vulnérabilité de type cross-site scripting (injection de code indirecte).
Le hacker pointe du doigt un problème d'exécution de code JavaScript et une faille basée sur le DOM (une vulnérabilité côté client). Pas une vulnérabilité critique mais tout de même un sérieux avertissement, Tavis Ormandy insistant sur le fait que la mise à jour d'Adobe force l'installation de l'extension pour Google Chrome.
I took a quick look at the extension. There was an easy privileged javascript code execution bug. Sigh. https://t.co/9Ka4y5r43M https://t.co/Wi6OVmYM5q
— Tavis Ormandy (@taviso) 18 janvier 2017
En l'occurrence, Adobe a réagi très rapidement en comblant presque dans la foulée ladite vulnérabilité via une mise à jour de l'extension. Chercheur en sécurité, Graham Cluley fronce tout de même les sourcils.
Pour Tripwire, il écrit qu'à chaque fois que des logiciels supplémentaires sont ajoutés à l'ordinateur, la surface d'attaque potentielle est augmentée. " Si vous n'en avez pas besoin, ne les installez pas. Et méfiez-vous des logiciels qui sont installés sans votre permission ou que les éditeurs intègrent dans leurs logiciels contre vos souhaits. "