Upatched PDF-sårbarhed i Chrome udnyttes aktivt

Illustration: anatolir/Bigstock
Det anbefales at bruge en anden PDF-læser.

Selv om der opdages sårbarheder i Chrome cirka hver eneste måned, er det sjældent, at sårbarheder i browseren når at blive udnyttet i faktiske angreb, inden Google har udgivet sikkerhedsopdateringer, som fjerner sårbarhederne.

Nuldagssårbarhed

Men nu er der blevet fundet en nuldagssårbarhed i den indbyggede PDF-læser i Chrome, som gør det muligt for uvedkommende at indsamle information om Chrome-brugeren, hvis brugeren åbner særligt udformede PDF-dokumenter direkte i Chrome.

Det er teamet bag tjenesten EdgeSpot, som har opdaget dette. EdgeSpot er en gratis tjeneste, hvor brugerne kan uploade filer for at få tjekket, om de indeholder angrebskode.

I et blogindlæg skriver teamet, at de i december opdagede spredning af flere PDF-dokumenter, som udnytter den aktuelle Chrome-sårbarhed. Dette blev opdaget ved, at åbning af dokumenterne medførte udgående HTTP POST-trafik til domænet readnotify.com.

Ikke så følsomt

Dataene, som bliver sendt, inkluderer brugerens IP-adresse, Chrome-versionen og hele stien til mappen, hvor PDF-filen befinder sig på brugerens enhed.

I de fleste tilfælde er det måske ikke den mest følsomme information, som findes på en pc, men det er jo alligevel uønsket adfærd. Det kan også være, at disse ondsindede dokumenter ikke har udnyttet hele potentialet i sårbarheden, men EdgeSpot-teamet understreger, at metoden ikke gør det muligt at stjæle NTLM-indlogningsinformation (NT LAN Manager) i Windows.

PDF-filer kan indeholde JavaScript-kode og i sådanne tilfælde benyttes blandt andet this.submitForm()-metoden.

EdgeSpot-teamet har testet de samme dokumenter i PDF-læseren Adobe Reader, uden at der blev opdaget udgående trafik som følge af dette.

Ikke før i april

Google blev advaret om sårbarheden den 26. december. Sårbarheden bliver ikke fjernet fra Chrome før i slutningen af april. EdgeSpot-teamet har dog alligevel valgt at gå ud med detaljerne om sårbarheden, før den bliver fjernet.

Teamet begrunder dette med, at det vil være en fordel for berørte brugere at kende til risikoen, siden sårbarheden aktivt udnyttes og sikkerhedsfikset er relativt langt væk. Google skulle være informeret om dette.

Det anbefales, at PDF-dokumenter indtil videre åbnes i en anden PDF-læser end Google Chrome, eventuelt at pc’en kobles fra internettet, før dokumentet åbnes.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Finn Hansen

Jamen, hvem kan dog finde på at skrive sådan noget vrøvl.
Den der har skrevet det, ved ikke meget om IT-sikkerhed.

Hver gang du har surfet, da kobler du dig af internettet - så bliver du ikke forurentet med vira eller troja, etc. etc. - når du har kikket på det du har surfet efter, så kobler du dig igen på internettet, og de sjove ting, man har fået med i bagagen fra sidste surftur, de spreder sig nu i det skjulte ud fra din PC ud i verden, hvor de er tiltænkt.

Ind i mellem føler jeg, at en del af indlægene på Version2 er rene KLIK indlæg, som der er en skjult dagsorden bag... tjen penge på klik.
Vær dog åben og ærlig, frem for at skrive sådan noget vrøvl, skriv at det er et KLIK-tjen-penge indlæg, så kan folk og fæ lettere vælge, om de gider læse og evt. bliver kloger.

  • 1
  • 1
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize