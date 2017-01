(Bild: Adobe)

Adobe hat mit einem automatischen Acrobat-Update bei Nutzern ein Chrome-Plug-In installiert, welches eine nicht unerhebliche Sicherheitslücke aufweist.

Am 12. Januar hat Adobe mit einem automatischen Sicherheitsupdate für Adobe Acrobat bei annähernd 30 Millionen Chrome-Nutzern ein Plug-In für Googles Browser installiert, in dem eine heftige Schwachstelle steckt. Lockt ein Angreifer einen Chrome-Nutzer auf eine präparierte Webseite, kann er auf dem Gerät seines Opfers über eine Cross-Site-Scripting-Lücke beliebigen JavaScript-Code ausführen. Mittlerweile hat Adobe das Plug-In automatisch mit einem Update versorgt, welches die Lücke (CVE-2017-2929) stopft.

Entdeckt hatte das Problem Google-Sicherheitsexperte Tavis Ormandy. Ormandy-typisch hatte er die Lücke öffentlich auf Twitter bekannt gemacht, nachdem der anonyme Sicherheitsforscher @SwiftOnSecurity auf das sich automatisch installierende Plug-In hingewiesen hatte. Neben der konkreten Lücke weist Ormandy noch auf weitere Teile des Programmcodes hin, der seiner Ansicht nach unsicher sein könnte. Das Plug-In dient dazu, die aktuell in Chrome angezeigte Webseite in eine PDF-Datei zu konvertieren. Außerdem können Nutzer damit PDF-Dateien im Web per Knopfdruck in Adobe Acrobat öffnen. (fab)