Header

角島
検証したことをメモに残しています。そして将棋の話題など。

ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法

SC2 2019-03-02 reload 2021-08-25
Tags
Atom | RSS
このサイトを検索 | Search this site
GoogleChrome
ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法

EdgSpot(blog.edgespot.io)によると Google Chrome の PDF Javascript API の脆弱性を攻撃するコードが埋め込まれたPDFファイルが大量にバラまかれていることがわかりました。

EdgeSpot は Chrome のローカルPDFビューアーの脆弱性について、2018年12月26日に Google に報告していましたが、この問題に対処したバージョンのリリースが4月下旬になると知らされたため、2019年2月26日に自社のサイトで情報公開して Chrome ユーザーに注意喚起することを決めたそうです。

4月下旬までに我々ができる対策は、Chrome の「ローカルPDFビューアー」を無効にすることです。

2018.12.26  Finding reported to Google
2019.02.12  More samples were detected during the period
2019.02.14  After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
2019.02.26  Blog post released*
blog.edgespot.io


目次[表示]

脆弱性の詳細

次の情報が外部に送信される可能性があります。
  • グローバルIPアドレス
  • OS, Chrome バージョン(環境変数の値?)
  • PDFファイルが保存されたディレクトリのフルパス

影響を受けるのはChrome内でPDFを表示した時のみ

今回の脆弱性は Chrome に実装された PDF Javascript API (PDFビューアー) の脆弱性を狙うものなので、 影響を受けるのはローカルPDFビューアー機能が有効になっている Chrome ユーザーです。

従って、PDFファイルはChromeで開かずに、ダウンロードして Adobe Reader などのPDFビューアーで閲覧すれば問題ありません。

ローカルPDFビューアー
ローカルPDFビューアー機能は、WebサイトのPDFファイルのリンクをクリックした時に Chrome でPDFを表示する機能です。この機能を有効にすると、Adobe Reader などのPDFビューアーがインストールされていなくてもPDFを閲覧することができます。

ローカルPDFビューアーを無効にする方法

Chrome > 設定 > 詳細設定 > プライバシーとセキュリティ:コンテンツの設定 > PDF ドキュメント

または、
Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > その他のコンテンツの設定 > PDFドキュメント

ローカルPDFビューアーを無効にするには、Chrome の設定画面を開いて「PDF ドキュメント設定」まで遷移したら、次の項目をON(オン)にします。
  • PDF ファイルを Chrome で自動的に開く代わりにダウンロードする

pdfconfig

この機能は Chrome 65 から追加されたものなので、Chrome 64 以前のバージョンをお使いの方は、Chrome を最新バージョンにアップデートしましょう。

あとがき

Chrome の初期設定は「ローカルPDFビューアー」は有効になっています。従って、前項の設定画面を開くとOFF(オフ)になっています。

PDFリンクをクリックした時に Chrome でファイル内容をすぐに確認できる「ローカルPDFビューアー」は便利ですが、脆弱性に対処したバージョンが提供されるまでは自己防衛するしかありません。

blog.edgespot.io では問題のPDFファイルのリンクが掲載されているので、興味のある方は blog.edgespot.io の該当記事をお読みください。(外部リンク参照)

 External link
検証:Google Chrome 72.0.3626.121 / 64-bit
chrome の記事 (Articles about the chrome)
  1. 【uAutoPagerize】次のページを自動的に読み込み、継ぎ足していくブラウザ拡張
  2. 【謎タスク?】GoogleUpdaterInternalService/GoogleUpdaterService
  3. uAutoPagerize 次のページのリンクを自動的に展開する拡張機能
  4. Chrome リモートデスクトップ|Windows 7
  5. Chrome リモート デスクトップの使い方
  6. 【Chrome】Backspace で直前のウェブページに戻る方法
  7. Chrome 71から廃止されたインラインインストールAPIの影響を検証
  8. Chrome「このサイトにアクセスできません...」頻発する時の対策
  9. [Chrome] このサイトにアクセスできません...頻発する時の対策
  10. Rajiko / Raziko / Radiko ラジコ三段活用
  11. chrome ラベルの記事(要約付)
  12. 未解決 が含まれる記事(要約付)
新着順 (New arrival order)
  1. 【2024年度総括】藤井七冠(最優秀棋士)、羽生九段現役続行と会長退任を表明
  2. 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
  3. 【恐怖】ポンジスキームとは?歴史から学ぶ詐欺の仕組み
  4. 【終息】TVerRec 3.3.9(暫定)で機能制限ほぼ解除、3.4.0リリース!
  5. 【緊急】TVerRec 3.3.6緊急リリース!仕様変更に暫定対応
  6. 【未解決】TVerRecダウンロード不具合!TVerの仕様変更かも?
  7. 【昇級/降級】全棋士ランキング確定、伊藤匠叡王B1へ昇級、羽生九段B2へ降級
  8. 【将棋】なぜ藤井聡太は人々を魅了するのか?【2024年度振り返り】
  9. 【更新】Lhaz 2.5.4リリース!法人利用が有料化へ
  10. 【Pixel 3月/2025】カメラ、WebView 、Bluetooth、電話のバグ修正【Android 15】
タイトル:ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法:SC2
Windowsランキング 将棋ランキング スマホ・携帯ランキング にほんブログ村 IT技術ブログ ライフハックへ にほんブログ村 その他趣味ブログ 将棋へ

このサイトを検索 | Search this site
Tags
SC2

投稿者 SC2

将棋ウォッチャーのカシミヤです。元SE。(@sc2kzstock)検証したことをメモに残しています。質問は受け付けていません。Windows、Android、将棋の話題。 --- I am taking notes on what I have verified. No questions are accepted. Information welcome! (@sc2kzstock) Topics related to Windows, Android, free software, and Japanese chess.