ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法
EdgSpot(blog.edgespot.io)によると Google Chrome の PDF Javascript API の脆弱性を攻撃するコードが埋め込まれたPDFファイルが大量にバラまかれていることがわかりました。
EdgeSpot は Chrome のローカルPDFビューアーの脆弱性について、2018年12月26日に Google に報告していましたが、この問題に対処したバージョンのリリースが4月下旬になると知らされたため、2019年2月26日に自社のサイトで情報公開して Chrome ユーザーに注意喚起することを決めたそうです。
4月下旬までに我々ができる対策は、Chrome の「ローカルPDFビューアー」を無効にすることです。
2018.12.26 Finding reported to Google
2019.02.12 More samples were detected during the period
2019.02.14 After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
2019.02.26 Blog post released*
blog.edgespot.io
脆弱性の詳細
次の情報が外部に送信される可能性があります。- グローバルIPアドレス
- OS, Chrome バージョン(環境変数の値?)
- PDFファイルが保存されたディレクトリのフルパス
影響を受けるのはChrome内でPDFを表示した時のみ
今回の脆弱性は Chrome に実装された PDF Javascript API (PDFビューアー) の脆弱性を狙うものなので、 影響を受けるのはローカルPDFビューアー機能が有効になっている Chrome ユーザーです。従って、PDFファイルはChromeで開かずに、ダウンロードして Adobe Reader などのPDFビューアーで閲覧すれば問題ありません。
ローカルPDFビューアー
ローカルPDFビューアー機能は、WebサイトのPDFファイルのリンクをクリックした時に Chrome でPDFを表示する機能です。この機能を有効にすると、Adobe Reader などのPDFビューアーがインストールされていなくてもPDFを閲覧することができます。ローカルPDFビューアーを無効にする方法
Chrome > 設定 > 詳細設定 > プライバシーとセキュリティ:コンテンツの設定 > PDF ドキュメント
または、
Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > その他のコンテンツの設定 > PDFドキュメント
または、
Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > その他のコンテンツの設定 > PDFドキュメント
ローカルPDFビューアーを無効にするには、Chrome の設定画面を開いて「PDF ドキュメント設定」まで遷移したら、次の項目をON(オン)にします。
- PDF ファイルを Chrome で自動的に開く代わりにダウンロードする
この機能は Chrome 65 から追加されたものなので、Chrome 64 以前のバージョンをお使いの方は、Chrome を最新バージョンにアップデートしましょう。
あとがき
Chrome の初期設定は「ローカルPDFビューアー」は有効になっています。従って、前項の設定画面を開くとOFF(オフ)になっています。PDFリンクをクリックした時に Chrome でファイル内容をすぐに確認できる「ローカルPDFビューアー」は便利ですが、脆弱性に対処したバージョンが提供されるまでは自己防衛するしかありません。
blog.edgespot.io では問題のPDFファイルのリンクが掲載されているので、興味のある方は blog.edgespot.io の該当記事をお読みください。(外部リンク参照)
External link
検証:Google Chrome 72.0.3626.121 / 64-bit
chrome の記事 (Articles about the chrome)
- なぜ必要?DNSキャッシュクリアの重要性と具体的な手順
- uAutoPagerize 次のページのリンクを自動的に展開する拡張機能
- 【uAutoPagerize】次のページを自動的に読み込み、継ぎ足していくブラウザ拡張
- 【謎タスク?】GoogleUpdaterInternalService/GoogleUpdaterService
- Chrome リモート デスクトップの使い方
- 【Chrome】Backspace で直前のウェブページに戻る方法
- Chrome 71から廃止されたインラインインストールAPIの影響を検証
- Chrome「このサイトにアクセスできません...」頻発する時の対策
- Rajiko / Raziko / Radiko ラジコ三段活用
- [Chrome] サードパーティCookieは2024年末までに廃止と発表
- chrome ラベルの記事(要約付)
- 未解決 が含まれる記事(要約付)
新着順 (New arrival order)
- なぜ必要?DNSキャッシュクリアの重要性と具体的な手順
- 【緊急】KB5063060配信開始:Easy Anti-Cheat搭載PC向け自動適用の理由とは
- 【トラウマ】藤井聡太との死闘が残したもの──タイトル戦はトップ棋士の試金石
- 【VAIO】BIOS R0500K9リリース:Windows 11 24H2対応と脆弱性修正の詳細(2025年06月11日)
- 【Pixel/2025年6月】Android 16と指紋認証、Bluetooth、カメラ、システムの改善と修正
- 【盛者必衰】四段経験なしで全棋士を統括?清水市代新会長誕生が将棋界にもたらす衝撃と期待
- 【Windows 11】24H2 アップデート後のトラブルシューティング(DISM, SFC, コンポーネントサービス)
- Intel(R) ME Firmware Ver.11.8.97.4739(2025年6月3日)【vaio】
- 【Clibor】行頭に連番を挿入する方法【New!】
- 【ブログ執筆者必見】Cliborでテキスト整形をマスター!コピペ効率を劇的に上げる方法
タイトル:ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法:SC2
このサイトを検索 | Search this site
![[Pixel 6a] 13は落ちてこないけど sideload はガマン](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjA4LVK-l4bknVBNsrXqSL_7HmSotLjBZMVofTzAVEej73LrzU049spQVIHCCptr4SEw7lAG_W5HKIfs78ZKhpW2XJmWK7putErLGcbw9aP3D3jknKeZJCIpNgBrA2t4sfV1iQ63zKe4pkN7C8kZr1tLT1-NTaTiGNBxcqmp7-yNFFEXw1GmqESxA-mhg/w680/pixel6asage.png){kind=tracking}
![[EventId 7000] Service Control Manager が記録された場合の対処方法](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiN6dqRB2WfXdfAKB10FDjdJ2p22frW5ahcNd07xf7-Dux9uDfiM1RGf7v6iO-QRooVfr3FsZNkpRKcO8Or0JcmQeJ5ud_ns3dfE7tQwoVZB2bsZbTKUaxVjG_CqSTho3hre6kT7T4mOBGz/w680/redyellow_317x.gif)
![[code:0x800f0922] KB5012170が原因だが日本語情報なし](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhCV4rd1ZLrB5JnxxOVg9VWGcNqNkXsMtdo4P5mx8VZbBHrnJ2-xyAosTj8I6byPlIjf2GzEXXR_lIJ-kjDLVWvO6Yl6Ug-xQD-y4LIV0mPXAXm0QgaHXV8pGXJGlfeRHsKY9ErFX_yzXTq/w680/wu_red_75x70.png)
ブロトピ:今日のブログ更新