Chrome瀏覽器的Acrobat擴充工具被發現有XSS漏洞

奧多比(Adobe)日前釋出的Acrobat Reader DC，當時已因未告知使用者會自動在Chrome瀏覽器上安裝擴充套件，以及會從遠端蒐集使用者資訊而頗受議論，如今又有安全研究人員發現該擴充套件存在跨站指令碼(XSS)漏洞，所幸Adobe已經修復。

Google旗下的資安團隊Project Zero研究人員發現，這個在未清楚告知使用者情況下便會安裝在Chrome瀏覽器的擴充套件，存在javascript程式碼執行漏洞，讓原本不應執行的程式碼可以被執行。

Adobe在上週釋出的新版Acrobat Reader DC軟體，原本是提供用戶瀏覽PDF等文件使用的閱讀器，過去都是獨立存在，但Adobe卻悄悄在使用者安裝的同時，也在Chrome瀏覽器上自動安裝擴充套件，讓使用者在透過Chrome開啟PDF文件時，改而透過該擴充套件開啟，由於Adobe還會透過該擴充套件蒐集用戶的瀏覽器、使用者使用情況等資料，一度引發外界議論。

Adobe表示，嚴肅看待Project Zero發現的漏洞，並已經完成修補，新下載的軟體已經沒有同樣的問題。