ふむ・・・
Google Chromeで問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるという。
セキュリティ企業のEdgeSpotは2月26日、米GoogleのWebブラウザ「Chrome」の未解決の脆弱性を突くPDFファイルが出回っているのを見つけたと伝えた。Google Chromeをローカルビューワとして使って問題のPDFファイルを開くと、そのユーザーの情報が、本人の知らないうちに外部に送られてしまう可能性があるとしている。
EdgeSpotによると、問題のPDFは2018年12月ごろから大量に検出されるようになった。Adobe ReaderなどのPDF閲覧ソフトで開いた場合は不審な挙動は確認されなかったが、Google Chromeで開くと不審な上りトラフィックが検出され、調べた結果、ユーザー情報が密かに外部のドメインに送信されていることが分かったという。
Google Chromeをローカルビューワとして使って、問題のPDFファイルを開くと、ユーザーの情報が外部に送られてしまう可能性がある(出典:EdgeSpot) 同社がサンプル調査したPDFファイルでは、ユーザーのIPアドレスやOS、Chromeのバージョン、ユーザーのローカルディスクに保存されているPDFファイルのパスといった情報が、ユーザーの許可なく外部に送信されていた。
EdgeSpotでは2018年12月にこの問題をGoogleに報告し、Googleからは2019年2月14日、Chrome公式版で4月下旬にこの問題に対処すると告げられたという。
しかし、EdgeSpotでは「この問題を突くPDFファイルが出回っているにもかかわらず、パッチの提供までまだ時間がかかることから、ユーザーには知らせた方がいいと判断して、パッチ公開を待たずに公表することにした」としている。
関連リンク
情報源:Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見(ITmedia エンタープライズ) – Yahoo!ニュース(コメント)
情報源:Google Chromeに脆弱性か、ユーザー追跡の不審なPDF発見 – ITmedia エンタープライズ
Googleは4月下旬の修正を約束
EdgeSpot社の公式ブログ フリーのオンラインマルウェアスキャンサービス“edgespot.io”を運営しているカナダのセキュリティベンダーEdgeSpotは2月26日(現地時間)、「Google Chrome」にゼロデイ脆弱性が存在することを明らかにした。
同社によると、「Google Chrome」のPDFビューワー機能にはローカルのPDFファイルを開いた際、ユーザーの操作なしにデータを外部へ送信できてしまう欠陥が存在するという。ユーザーのパブリックIPアドレスやOS、「Google Chrome」のバージョン、開いたPDFファイルのフルパスといった個人情報が漏洩する可能性がある。「Adobe Acrobat Reader」で開いた場合は、送信トラフィックは発生しない。
この脆弱性を悪用したPDFファイルは昨年12月下旬から確認されており、同社はすでにGoogleへ通知済みであるという。Googleは4月下旬を目途に修正版をリリースする予定だが、それまでは「Google Chrome」をローカルのPDFファイルを閲覧するためのビューワーとして利用せず、代わりに「Adobe Acrobat Reader」などを利用することが推奨されている。
関連リンク
情報源:「Google Chrome」にゼロデイ脆弱性 ~ローカルPDFファイルを開くと個人情報が漏洩(Impress Watch) – Yahoo!ニュース(コメント)
情報源:「Google Chrome」にゼロデイ脆弱性 ~ローカルPDFファイルを開くと個人情報が漏洩 – 窓の杜
ほぉ・・・
