ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法

Atom | RSS

このサイトを検索 | Search this site

ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法

EdgSpot（blog.edgespot.io）によると Google Chrome の PDF Javascript API の脆弱性を攻撃するコードが埋め込まれたPDFファイルが大量にバラまかれていることがわかりました。

EdgeSpot は Chrome のローカルPDFビューアーの脆弱性について、2018年12月26日に Google に報告していましたが、この問題に対処したバージョンのリリースが4月下旬になると知らされたため、2019年2月26日に自社のサイトで情報公開して Chrome ユーザーに注意喚起することを決めたそうです。

4月下旬までに我々ができる対策は、Chrome の「ローカルPDFビューアー」を無効にすることです。

2018.12.26  Finding reported to Google
2019.02.12  More samples were detected during the period
2019.02.14  After multiple communications with the Chrome team, we were informed the issue will be landed on official Chrome in late April. Chrome team were informed about this blog post release
2019.02.26  Blog post released*
blog.edgespot.io

目次[表示]

• 1.脆弱性の詳細
• 2.影響を受けるのはChrome内でPDFを表示した時のみ
• 3.ローカルPDFビューアーを無効にする方法
• 4.あとがき

脆弱性の詳細

次の情報が外部に送信される可能性があります。

• グローバルIPアドレス
• OS, Chrome バージョン（環境変数の値？）
• PDFファイルが保存されたディレクトリのフルパス

影響を受けるのはChrome内でPDFを表示した時のみ

今回の脆弱性は Chrome に実装された PDF Javascript API (PDFビューアー) の脆弱性を狙うものなので、 影響を受けるのはローカルPDFビューアー機能が有効になっている Chrome ユーザーです。

従って、PDFファイルはChromeで開かずに、ダウンロードして Adobe Reader などのPDFビューアーで閲覧すれば問題ありません。

ローカルPDFビューアー

ローカルPDFビューアー機能は、WebサイトのPDFファイルのリンクをクリックした時に Chrome でPDFを表示する機能です。この機能を有効にすると、Adobe Reader などのPDFビューアーがインストールされていなくてもPDFを閲覧することができます。

ローカルPDFビューアーを無効にする方法

Chrome > 設定 > 詳細設定 > プライバシーとセキュリティ：コンテンツの設定 > PDF ドキュメント

または、
Chrome > 設定 > プライバシーとセキュリティ > サイトの設定 > その他のコンテンツの設定 > PDFドキュメント

ローカルPDFビューアーを無効にするには、Chrome の設定画面を開いて「PDF ドキュメント設定」まで遷移したら、次の項目をON（オン）にします。

• PDF ファイルを Chrome で自動的に開く代わりにダウンロードする

この機能は Chrome 65 から追加されたものなので、Chrome 64 以前のバージョンをお使いの方は、Chrome を最新バージョンにアップデートしましょう。

あとがき

Chrome の初期設定は「ローカルPDFビューアー」は有効になっています。従って、前項の設定画面を開くとOFF（オフ）になっています。

PDFリンクをクリックした時に Chrome でファイル内容をすぐに確認できる「ローカルPDFビューアー」は便利ですが、脆弱性に対処したバージョンが提供されるまでは自己防衛するしかありません。

blog.edgespot.io では問題のPDFファイルのリンクが掲載されているので、興味のある方は blog.edgespot.io の該当記事をお読みください。（外部リンク参照）

 External link

• Update and Research from EdgeSpot team: EdgeSpot detects PDF samples tracking users who use Google Chrome as local PDF viewer

検証：Google Chrome 72.0.3626.121 / 64-bit

pdf の記事 (Articles about the pdf)

1. CubePDF インストール手順書
2. IrfanView をPDFビューアーにする方法
3. CubePDF の Runtime Error を回避する方法
4. [CubePDF] Ghostscript APIによる変換中にエラーが発生しました
5. Ghostscript の機能、入手方法、インストール手順など
6. Chrome 65でPDFリンクをクリックした時の動作を選択する方法
7. CubePDF Utility v1.5.2 | PDFの抽出・結合・分割・順序変更...etc
8. ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法
9. pdf ラベルの記事（要約付）
10. 未解決 が含まれる記事（要約付）

新着順 (New arrival order)

1. 【Pixel／2025年5月】アンチロールバックの実装、ゼロデイ脆弱性（CVE-2025-27363）
2. 【初心者向け】Windows／AndroidでDoHを設定してセキュリティを高める方法
3. まだ間に合う！ChromeでuBlock Originを使うための最終手段
4. 【新ルール】クイーン白玲（通算5期）で四段昇段！将棋界に激震走る
5. 【最速情報】Google Pixel 9a 日本発売！気になる価格とスペックまとめ
6. 【Pixel 4月／2025】生体認証、カメラ、ディスプレイ、UIの修正【Android 15】
7. 【2024年度】藤井七冠(最優秀棋士)、羽生九段、会長辞任はタイトル100期への伏線か？
8. 【バグ】TVerRec 3.4.2 のリネーム処理不具合とその原因を考察
9. 【恐怖】ポンジスキームとは？歴史から学ぶ詐欺の仕組み
10. 【終息】TVerRec 3.3.9（暫定）で機能制限ほぼ解除、3.4.0リリース！

タイトル：ChromeのローカルPDFビューアーの脆弱性に暫定対処する方法：SC2

このサイトを検索 | Search this site