一家安全公司本周表示，它利用该公司称为Google Chrome浏览器的“零时差”发现了PDF文档。利用此漏洞，攻击者可以从在Chrome的内置PDF查看器中打开PDF文件的用户中收集数据。

发现文件的公司漏洞利用检测服务EdgeSpot表示，PDF文档将与远程域联系，并提供用户设备上的信息，例如IP地址，操作系统版本，Chrome版本以及PDF文件在Windows上的路径。用户的计算机。

当研究人员在桌面PDF查看器应用程序(例如Adobe Reader等)中打开相同的PDF文件时，不会发生这种回拨电话行为，但仅限于Chrome。

该公司表示，发现了利用此Chrome浏览器漏洞的两组截然不同的恶意PDF文件，其中一系列文件于2017年10月左右分发，第二组文件于2018年9月分发。

研究人员说，第一批恶意PDF文件将用户数据发送回“ readnotify.com ”域，而第二批文件将其发送到“ zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net ”。

EdgeSpot发现的PDF文件中没有其他恶意代码。但是，收集有关打开PDF文件的用户的数据可以帮助攻击者更好地调整将来的攻击和利用。

但是，在此故事发布后，与ZDNet的一次对话中，Mac恶意软件安全专家Patrick Wardle解释说，尽管利用了Chrome错误，EdgeSpot检测到的第一批文件并不是恶意的。他说，这些文件是使用ReadNotify的PDF跟踪服务组装而成的，该服务可使用户跟踪何时有人查看他们的PDF文件，该服务自2010年以来一直存在。

Wardle告诉我们：“研究人员'发现'的只是一个由ReadNotify标记的文档，但是，是的，Chrome应该提醒用户。”

第二套PDF文件(于2018年9月发布)及其性质没有可用的信息-如果它们是由威胁参与者组装而成的，或者只是出于测试目的，或者是出于良性用户跟踪目的而生成的。

EdgeSpot表示，去年圣诞节假期期间，当Google首次发现这些文件时，便通知了Google。Chrome小组认识到该漏洞，并承诺将在4月下旬进行修复。

“我们决定在补丁发布之前发布我们的发现，因为我们认为最好让受影响的用户有机会获知/警告潜在的风险，因为主动的漏洞利用/样本很普遍，而补丁并不在附近”，研究人员昨天在博客中说。

该博客文章还包含公司发现的PDF文件的样本和危害指标(IOC)。

在发布补丁之前，EdgeSpot建议用户在Chrome中打开PDF文档时，使用桌面应用查看PDF文件或禁用其互联网连接。

在不相关的研究中，但也与PDF文档的世界息息相关，本周早些时候，安全研究人员发现了一些漏洞，这些漏洞使他们可以在22个桌面PDF查看器应用程序中的21个以及7个在线PDF数字签名服务中的5个中伪造签名。