ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法

このサイトを検索 | Search this site
GoogleChrome

EdgSpot(blog.edgespot.io)によると Google Chrome の PDF Javascript API の脆弱性を攻撃するコードが埋め込まれたPDFファイルが大量にバラまかれていることがわかりました。

EdgeSpot は Chrome のローカルPDFビューアーの脆弱性について、2018年12月26日に Google に報告していましたが、この問題に対処したバージョンのリリースが4月下旬になると知らされたため、2019年2月26日に自社のサイトで情報公開して Chrome ユーザーに注意喚起することを決めたそうです。

4月下旬までに我々ができる対策は、Chrome の「ローカルPDFビューアー」を無効にすることです。

2018.12.26  Finding reported to Google
2019.02.12  More samples were detected during the period
2019.02.14  After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
2019.02.26  Blog post released*
blog.edgespot.io


脆弱性の詳細

次の情報が外部に送信される可能性があります。
  • グローバルIPアドレス
  • OS, Chrome バージョン(環境変数の値?)
  • PDFファイルが保存されたディレクトリのフルパス

影響を受けるのはChrome内でPDFを表示した時のみ

今回の脆弱性は Chrome に実装された PDF Javascript API (PDFビューアー) の脆弱性を狙うものなので、 影響を受けるのはローカルPDFビューアー機能が有効になっている Chrome ユーザーです。

従って、PDFファイルはChromeで開かずに、ダウンロードして Adobe Reader などのPDFビューアーで閲覧すれば問題ありません。

ローカルPDFビューアー
ローカルPDFビューアー機能は、WebサイトのPDFファイルのリンクをクリックした時に Chrome でPDFを表示する機能です。この機能を有効にすると、Adobe Reader などのPDFビューアーがインストールされていなくてもPDFを閲覧することができます。

ローカルPDFビューアーを無効にする方法

Chrome > 設定 > 詳細設定 > プライバシーとセキュリティ:コンテンツの設定 > PDF ドキュメント

または、
Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > その他のコンテンツの設定 > PDFドキュメント

ローカルPDFビューアーを無効にするには、Chrome の設定画面を開いて「PDF ドキュメント設定」まで遷移したら、次の項目をON(オン)にします。
  • PDF ファイルを Chrome で自動的に開く代わりにダウンロードする

pdfconfig

この機能は Chrome 65 から追加されたものなので、Chrome 64 以前のバージョンをお使いの方は、Chrome を最新バージョンにアップデートしましょう。

あとがき

Chrome の初期設定は「ローカルPDFビューアー」は有効になっています。従って、前項の設定画面を開くとOFF(オフ)になっています。

PDFリンクをクリックした時に Chrome でファイル内容をすぐに確認できる「ローカルPDFビューアー」は便利ですが、脆弱性に対処したバージョンが提供されるまでは自己防衛するしかありません。

blog.edgespot.io では問題のPDFファイルのリンクが掲載されているので、興味のある方は blog.edgespot.io の該当記事をお読みください。(外部リンク参照)

検証:Google Chrome 72.0.3626.121 / 64-bit
SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site