Adobe在上周放出了新版Acrobat Reader DC软件，作为当前一款非常流行的PDF文档，立刻吸引到众多网友纷纷下载使用。不过，来自Google信息安全团队Project Zero的研究人员发现，在下载新版Acrobat Reader DC软件的同时，其会在未清楚告知使用者情况下，自动在Chrome浏览器上安装Acrobat的扩展插件。

　　Acrobat Chrome浏览器插件曝出XSS漏洞

原本是提供用户浏览PDF等文件使用的阅读器Acrobat Reader DC，过去都是独立存在的，但在此前推出的更新版本中，用户会在不知情状态下被安装上Acrobat扩展插件。使用者在通过Chrome开启PDF文件时，会转而通过该扩展插件进行开启。由于Adobe会通过该扩展插件收集用户的上网及浏览器使用情况等数据，一度引起了不小的争议。

　　Acrobat Reader DC

然而事情并未结束，安全研究人员又发现该扩展插件还存在跨站脚本（XSS）漏洞，这让使用者面临着更大的安全威胁，包括盗取各类用户帐号，如机器登录帐号、用户网银帐号、各类管理员帐号；控制企业数据，包括读取、篡改、添加、删除企业敏感数据的能力；盗窃企业重要的具有商业价值的资料；给网站挂马；控制受害者机器向其它网站发起攻击等等。

所幸Adobe对此也快速做出回应，表示将严肃看待Project Zero安全团队发现的此漏洞，并已着手进行了修复。现在网友再下载Acrobat Reader DC软件将会是安全的，不会遭受到上述安全威胁了。