预警编号:NS-2019-0007
2019-03-01
TAG: | Chrome、PDF、信息泄露 |
---|---|
危害等级: | 高,此漏洞可导致公网IP地址、操作系统版本、本地路径等信息泄露。与WinRAR代码执行漏洞结合利用,将造成更大威胁。根据绿盟科技监测,已在野外发现多个利用该漏洞的恶意样本。 |
版本: | 1.0 |
1
漏洞概述
2019年2月28日,国外安全公司发现谷歌Chrome浏览器存在0day漏洞,可导致用户使用Chrome打开恶意PDF文件时发生信息泄露。根据监测,已在野外发现多个利用该漏洞的样本。
此漏洞存在于Google Chrome浏览器使用的PDF JavaScript API中,攻击者只需在PDF中加入一条特定API调用,即可导致用户的Chrome浏览器将个人信息发送至攻击者指定的位置。
泄露的个人信息包括:
(1)用户的公网IP地址;
(2)操作系统版本、Chrome版本信息;
(3)用户计算机上PDF文件的完整路径。
攻击者利用该漏洞可进行攻击前期的信息搜集,从而确定Web文件路径、计算机用户名称、主机名称等信息,以开展下一步有针对性的攻击。通过PDF的完整路径,攻击者可能获取到主机的有效目录,再与2月20日发现的WinRAR代码执行漏洞结合利用,构造特定用户名下的自启动释放路径,可能会造成更大的威胁。
参考链接:
https://winbuzzer.com/2019/02/28/google-chrome-vulnerability-allows-hackers-to-steal-information-through-pdf-files-xcxwbn/?utm_source=PUSH
https://blog.edgespot.io/2019/02/edgespot-detects-pdf-zero-day-samples.html?m=1
SEE MORE →
2影响范围
此漏洞存在于Chrome浏览器使用的PDF JavaScript API中,影响所有使用Chrome浏览PDF文件的用户。
3解决建议
3.1 安全建议
目前,Chrome暂无针对该漏洞的安全补丁,预计将在2019年4月发布补丁。
在2019年4月补丁发布并更新前,避免使用Chrome浏览器打开外部发送的PDF文件。
如果确有需要,请在断网状态下使用Chrome打开PDF,或使用专业PDF阅读软件:
3.2 产品防护
针对该漏洞,绿盟科技入侵检测防护系统(IDS/IPS)及WEB应用防护系统(WAF)的防护规则都在加急研发中,请相关用户关注规则包升级情况,及时升级以保护信息系统的安全。
绿盟科技产品更新链接:
http://update.nsfocus.com/
4漏洞简析
该漏洞主要是由于Chrome浏览器没有对submitForm函数进行安全检测,因此可导致浏览器在用户毫不知情的情况下访问外部网站,攻击者甚至可以通过精心构造利用代码,获取更多的用户信息。
Chrome浏览器在解析PDF中的脚本时,会默认屏蔽访问外部链接的函数,比如launchURL。按照下图人工构造一个PDF,使用launchURL函数访问目标机器。并使用Chrome打开构造好的PDF文件后,目标机器不会收到任何请求。
submitForm函数同样具有发送请求的功能,但是没有被Chrome加入黑名单,因此该函数可导致用户在不知情的情况下访问外部链接,甚至发送用户敏感信息至攻击者服务器。
如下图所示,使用submitForm函数替换上述代码中的launchURL函数。
若使用Adobe Reader打开该PDF文件,则会出现风险提示。
但若将构造好的PDF文件放入Chrome浏览器中打开,则不会出现提示,并且将自动发送请求至目标主机。
该漏洞是由于Chrome浏览器在解析PDF文件时,没有对JavaScript函数做好过滤而导致。如果攻击者利用水坑攻击方式,在服务端构造恶意的PDF文件,并诱导用户在Chrome浏览器中阅读,将造成大范围的影响。因此建议用户在Chrome浏览器发布更新之前,使用专业PDF阅读软件打开PDF文件。
END
作者:绿盟科技安全服务部
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。