Im Rahmen seines monatlichen Patch Days hat Adobe vor kurzem eine ganze Reihe von Lücken in Acrobat, Adobe Reader und dem Flash Player geschlossen. Wie sich nun herausstellt, hat der Hersteller das Sicherheits-Update in einem Fall aber auch dazu genutzt, zusätzliche Software auf die Rechner seiner Nutzer einzuschmuggeln.

Unerwünschte Erweiterung

Mit der aktuellsten Version Adobe Reader wird eine Erweiterung für den Browser Chrome mitinstalliert. Diese soll dabei helfen ganze Webseiten als PDF zu speichern. Um dies zu ermöglichen, bedarf sie umfassender Berechtigungen. Dazu gehört die Möglichkeit sämtliche Webseiten mitzulesen oder auch auf Downloads zuzugreifen.

Nachfrage

Öffentlich wurde die Angelegenheit, da der Chrome seit einiger Zeit solche Installationen im Hintergrund aus Sicherheitsgründen nicht mehr zulässt. Also werden die User beim ersten Start des Chromes nach dem Reader-Update gefragt, ob sie die Aktivierung der Erweiterung genehmigen wollen. Erst wenn sie dieser Frage zustimmen, ist die Adobe-Software also aktiv.

Datensammelei

Trotzdem sorgte die Adobe-Neuerung schnell für empörte Reaktionen. Dies nicht zuletzt, da die Erweiterung auch Daten über seine Nutzer sammelt, und regelmäßig an den Hersteller verschickt. Adobe betont allerdings, dass diese Informationen anonymisiert erfasst werden, und dass zudem keine Daten über besuchte Seiten verschickt werden.

Kritik

Neu ist die Erweiterung übrigens nicht, sie war schon seit längerem separat erhältlich. Insofern entzündet sich die Kritik vor allem daran, dass Adobe ein Sicherheits-Update missbraucht, um neue Software auf die Systeme der Nutzer zu bringen. Dies unterwandere das Vertrauen in – dringend notwendige – Sicherheitsaktualisierungen. (apo, 16.1.2017)