PDF-leseren

Nulldagssårbarhet i Chrome utnyttes i aktive angrep

Bruk en annen PDF-leser.

En sårbarhet i PDF-leseren i Google Chrome blir utnyttet i aktive angrep. Det er mange uker til en sikkerhetsfiks blir tilgjengelig.
En sårbarhet i PDF-leseren i Google Chrome blir utnyttet i aktive angrep. Det er mange uker til en sikkerhetsfiks blir tilgjengelig. (Bilde: Wikipedia)

Bruk en annen PDF-leser.

Selv om det oppdages sårbarheter i Chrome omtrent hver eneste måned, er det sjelden at sårbarheter i nettleseren blir utnyttet i faktiske angrep før etter at Google har utgitt sikkerhetsoppdateringer som fjerner de aktuelle sårbarhetene.

Nulldagssårbarhet

Men nå har det blitt funnet en nulldagssårbarhet i den innebygde PDF-leseren i Chrome som gjør det mulig for uvedkommende å samle inn informasjon om Chrome-brukeren, dersom brukeren åpner spesielt utformede PDF-dokumenter direkte i Chrome. 

Det er teamet bak tjenesten EdgeSpot som har oppdaget dette. EdgeSpot er en gratistjeneste hvor brukerne kan laste opp filer for å få sjekket om de inneholder angrepskode. 

I et blogginnlegg skriver teamet at de i desember oppdaget spredning av flere PDF-dokumenter som utnytter den aktuelle Chrome-sårbarheten. Dette ble oppdaget ved at åpning av dokumentene førte til noe utgående HTTP POST-trafikk til domenet readnotify.com. 

Ikke så veldig følsomt

Dataene som blir sendt inkluderer IP-adressen til brukeren, Chrome-versjonen og hele stien til mappen hvor PDF-filen befinner seg på brukerens enhet.

I de fleste tilfeller er dette kanskje ikke den mest følsomme informasjonen som finnes på en datamaskin, men det er likevel uønsket atferd. Det kan også være at disse ondsinnede dokumentene ikke har utnyttet hele potensialet i sårbarheten, men EdgeSpot-teamet understreker at metoden ikke gjør det mulig å stjele NTLM-innloggingsinformasjon (NT LAN Manager) i Windows . 

PDF-filer kan inneholde JavaScript-kode og i dette tilfellet benyttes blant annet this.submitForm()-metoden.

EdgeSpot-teamet har testet de samme dokumentene i PDF-leseren Adobe Reader, uten at det ble oppdaget utgående trafikk som følge av dette.

Ikke før i april

Google ble varslet om sårbarheten den 26. desember. Sårbarheten kommer ikke til å bli fjernet fra Chrome før i slutten av april. EdgeSpot-teamet har likevel valgt å gå ut med detaljene om sårbarheten i forkant av at den blir fjernet. 

Teamet begrunner dette med at det vil være en fordel for berørte brukere å kjenne til risikoen, siden sårbarheten aktivt utnyttes og sikkerhetsfiksen er relativt langt unna i tid. Google skal være informert om dette.

Det anbefales at PDF-dokumenter inntil videre åpnes i en annen PDF-leser enn Google Chrome, eventuelt at pc-en kobles fra internett før dokumentet åpnes.

Leste du denne? Med Chrome skulle Google først og fremst vise hva weben var god for 

Kommentarer (8)

Kommentarer (8)
Til toppen