2019-03-02T07:27:08Z kzstock ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法|脆弱性に対応したChromeのリリースは4月下旬
Scrap 2nd.
3

ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法|脆弱性に対応したChromeのリリースは4月下旬

1st:
検証:Google Chrome 72.0.3626.121 / 64-bit



EdgSpot(blog.edgespot.io)の記事によると Google Chrome の PDF Javascript API の脆弱性を攻撃する Javascript コードが埋め込まれたPDFファイルが大量に流通していることがわかりました。

EdgeSpot は Chrome のローカルPDFビューアーの脆弱性について、2018年12月26日に Google に報告していましたが、この問題に対処したバージョンのリリースが4月下旬になると知らされたため、2019年2月26日に自社のサイトで情報公開して Chrome ユーザーに注意喚起することを決めたそうです。

4月下旬までに我々ができる対策は、Chrome の「ローカルPDFビューアー」を無効にすることです。

2018.12.26  Finding reported to Google
2019.02.12  More samples were detected during the period
2019.02.14  After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
2019.02.26  Blog post released*


脆弱性の詳細

次の情報が外部に送信される可能性があります。

  • グローバルIPアドレス
  • OS, Chrome バージョン(環境変数の値?)
  • PDFファイルが保存されたディレクトリのフルパス

上記の中で、グローバルIPアドレスが知られると攻撃されやすくなります。

グローバルIPアドレスはプロバイダーなどから付与されるIPアドレスのことですが、固定IP契約以外では、付与されたグローバルIPアドレスは不定期で更新されるので、外部からアタックを受けるリスクは次にIPアドレスが変更される時までです。( ꒪⌓꒪)

影響を受けるのはChrome内でPDFを表示した時のみ

今回見つかった脆弱性は Chrome の PDF Javascript API の脆弱性を狙うものなので、 影響を受けるのは、ローカルPDFビューアー機能が有効になっている Chrome ユーザーです。

従って、問題のPDFを一旦ダウンロードして Adobe Reader などのPDFビューアーで開いた場合は問題ありません。

ローカルPDFビューアー機能は、WebサイトのPDFファイルのリンクをクリックした時に Chrome でPDFを表示する機能です。この機能を有効にすると、Adobe Reader などのPDFビューアーがインストールされていなくてもPDFを閲覧できるようになります。

ローカルPDFビューアーを無効にする方法

Chrome > 設定 > 詳細設定 > プライバシーとセキュリティ:コンテンツの設定 > PDF ドキュメント

ローカルPDFビューアーを無効にするには、Chrome の設定画面を開いて「PDF ドキュメント設定」まで遷移したら、次の項目をON(オン)にします。

  • PDF ファイルを Chrome で自動的に開く代わりにダウンロードする



この機能は Chrome 65 から追加されたものなので、Chrome 64 以前のバージョンをお使いの方は、Chrome を最新バージョンにアップデートしましょう。

あとがき

Chrome の初期設定は「ローカルPDFビューアー」は有効になっています。従って、前項の設定画面を開くとOFF(オフ)になっています。

PDFリンクをクリックした時に Chrome でファイル内容をすぐに確認できる「ローカルPDFビューアー」は便利ですが、脆弱性に対処したバージョンが提供されるまでは自己防衛するしかありません。

blog.edgespot.io では問題のPDFファイルのリンクが掲載されているので、興味のある方は blog.edgespot.io の該当記事をお読みください。(外部リンク参照)

おわり
次の投稿 前の投稿 ホーム

0 件のコメント:

コメントを投稿

にゃんつくばっと