Adobe在上周放出了新版Acrobat Reader DC軟件，作為當前一款非常流行的PDF文檔，立刻吸引到眾多網(wǎng)友紛紛下載使用。不過，來自Google信息安全團隊Project Zero的研究人員發(fā)現(xiàn)，在下載新版Acrobat Reader DC軟件的同時，其會在未清楚告知使用者情況下，自動在Chrome瀏覽器上安裝Acrobat的擴展插件。

　　Acrobat Chrome瀏覽器插件曝出XSS漏洞

原本是提供用戶瀏覽PDF等文件使用的閱讀器Acrobat Reader DC，過去都是獨立存在的，但在此前推出的更新版本中，用戶會在不知情狀態(tài)下被安裝上Acrobat擴展插件。使用者在通過Chrome開啟PDF文件時，會轉(zhuǎn)而通過該擴展插件進行開啟。由于Adobe會通過該擴展插件收集用戶的上網(wǎng)及瀏覽器使用情況等數(shù)據(jù)，一度引起了不小的爭議。

　　Acrobat Reader DC

然而事情并未結(jié)束，安全研究人員又發(fā)現(xiàn)該擴展插件還存在跨站腳本（XSS）漏洞，這讓使用者面臨著更大的安全威脅，包括盜取各類用戶帳號，如機器登錄帳號、用戶網(wǎng)銀帳號、各類管理員帳號；控制企業(yè)數(shù)據(jù)，包括讀取、篡改、添加、刪除企業(yè)敏感數(shù)據(jù)的能力；盜竊企業(yè)重要的具有商業(yè)價值的資料；給網(wǎng)站掛馬；控制受害者機器向其它網(wǎng)站發(fā)起攻擊等等。

所幸Adobe對此也快速做出回應(yīng)，表示將嚴肅看待Project Zero安全團隊發(fā)現(xiàn)的此漏洞，并已著手進行了修復(fù)。現(xiàn)在網(wǎng)友再下載Acrobat Reader DC軟件將會是安全的，不會遭受到上述安全威脅了。