谷歌浏览器漏洞 用于通过PDF文件收集用户数据

一家安全公司本周表示,它利用该公司称为Google Chrome浏览器的“零时差”发现了PDF文档。利用此漏洞,攻击者可以从在Chrome的内置PDF查看器中打开PDF文件的用户中收集数据。

发现文件的公司漏洞利用检测服务EdgeSpot表示,PDF文档将与远程域联系,并提供用户设备上的信息,例如IP地址,操作系统版本,Chrome版本以及PDF文件在Windows上的路径。用户的计算机。

当研究人员在桌面PDF查看器应用程序(例如Adobe Reader等)中打开相同的PDF文件时,不会发生这种回拨电话行为,但仅限于Chrome。

该公司表示,发现了利用此Chrome浏览器漏洞的两组截然不同的恶意PDF文件,其中一系列文件于2017年10月左右分发,第二组文件于2018年9月分发。

研究人员说,第一批恶意PDF文件将用户数据发送回“ readnotify.com ”域,而第二批文件将其发送到“ zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net ”。

EdgeSpot发现的PDF文件中没有其他恶意代码。但是,收集有关打开PDF文件的用户的数据可以帮助攻击者更好地调整将来的攻击和利用。

但是,在此故事发布后,与ZDNet的一次对话中,Mac恶意软件安全专家Patrick Wardle解释说,尽管利用了Chrome错误,EdgeSpot检测到的第一批文件并不是恶意的。他说,这些文件是使用ReadNotify的PDF跟踪服务组装而成的,该服务可使用户跟踪何时有人查看他们的PDF文件,该服务自2010年以来一直存在。

Wardle告诉我们:“研究人员'发现'的只是一个由ReadNotify标记的文档,但是,是的,Chrome应该提醒用户。”

第二套PDF文件(于2018年9月发布)及其性质没有可用的信息-如果它们是由威胁参与者组装而成的,或者只是出于测试目的,或者是出于良性用户跟踪目的而生成的。

EdgeSpot表示,去年圣诞节假期期间,当Google首次发现这些文件时,便通知了Google。Chrome小组认识到该漏洞,并承诺将在4月下旬进行修复。

“我们决定在补丁发布之前发布我们的发现,因为我们认为最好让受影响的用户有机会获知/警告潜在的风险,因为主动的漏洞利用/样本很普遍,而补丁并不在附近”,研究人员昨天在博客中说。

该博客文章还包含公司发现的PDF文件的样本和危害指标(IOC)。

在发布补丁之前,EdgeSpot建议用户在Chrome中打开PDF文档时,使用桌面应用查看PDF文件或禁用其互联网连接。

在不相关的研究中,但也与PDF文档的世界息息相关,本周早些时候,安全研究人员发现了一些漏洞,这些漏洞使他们可以在22个桌面PDF查看器应用程序中的21个以及7个在线PDF数字签名服务中的5个中伪造签名。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。