Google Chrome的一个零日漏洞允许黑客只使用浏览器中加载的恶意PDF文档来获取个人数据。
由EdgeSpot发现的这个安全漏洞已经被利用,Google 只会在4月底发布官方修复。
当以专门的PDF阅读器(如adobereader)打开时,PDF文档似乎不会泄漏任何个人信息。然而,恶意代码似乎专门针对Google Chrome的一个漏洞,因为在浏览器中打开它们会触发到两个不同域名之一的出站流量,这两个域名分别是burpcollaborator.net和readnotify.com。
公开的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径。
有趣的是,安全产品并没有发现恶意PDF文档具有潜在的危险,只有一些防病毒解决方案在扫描它们时才会触发警告。
修复版本将在4月17日发布
该漏洞已于12月26日向Google报告,并且在2月14日,该公司确认4月底的浏览器更新将包含修复程序。
EdgeSpot的研究人员解释说:“我们决定在补丁发布之前发布我们的发现,因为我们认为最好给受影响的用户一个机会,让他们知道潜在的风险,因为活跃的漏洞/样本是在实际环境中,而补丁并不在附近。”
同时,最简单的保护方法是避免在Google Chrome中打开任何PDF文档,但如果你必须要在Chrome中打开PDF,你应该远离来自你不信任的来源的文件。此外,当你在Google Chrome浏览器中打开PDF文档时,您可以暂时断开计算机与Internet的连接。
下一个Google Chrome版本将纠正这个漏洞,也就是Chrome 66,定于4月17日发布。