HOME コラム一覧 知って得するセキュリティのはなし その7

知って得するセキュリティのはなし その7

コンプライアンス その他
post_visual

ChromeのPDFリーダー機能に脆弱性か…PCの情報等を外部に送信の可能性

1.このニュースをザックリ言うと

- 2月26日(現地時間)、セキュリティ企業のEdgeSpot社より、Google ChromeのPDFリーダー機能に存在する未修正の脆弱性を突くPDFファイルが2018年12月から確認されているとして注意喚起が出されています。

- 発表によれば、この不正なPDFファイルをPC上に保存した状態でChromeで開いた場合、PCのIPアドレス・OS・ChromeのバージョンおよびPDFファイルのローカルディスク上のパスといった情報がユーザの許可なく外部に送信されるとのことです。

- Googleでは12月の時点で報告を受けており、4月下旬に修正を予定しているとのことです。

2.執筆者からの所感等

- 2月12日にAcrobat Reader等で修正された脆弱性とは異なるものとされ、Chrome以外(Acrobat ReaderやFirefox等)の場合や、外部Webサイト上のPDFファイルを直接表示する場合には問題は発生しないとの情報があるため、攻撃者はWebサイト上のリンクをクリックしたらそこでPDFを直接表示する形ではなく、一旦ダウンロードさせてから開かせようとする形をとることが考えられます(メールに添付する等も考えられます)。

- PDFリーダーはAcrobat Reader以外にも数多く存在し、またChrome以外の各種Webブラウザ(IE除く)にも備わっていますので、PDFファイルを読む手段を普段から複数用意しておくことはセキュリティリスクの回避の面でも有用と言えますが、常に最新のバージョンを利用することや、アンチウイルスやUTMによる防御も併せて行っていくことも忘れてはいけません。

執筆者情報

profile_photo

株式会社アルテミス

株式会社アルテミスは、1995年(平成7年)に設立以来、情報通信および情報セキュリティという事業領域において、お客様ニーズに合わせてワンストップにて各種ソリューションを提供しています。
自社製品として情報セキュリティ関連の各種シリーズをリリース、そのほか、ネットワークセキュリティの分野では、疑似侵入診断サービス、Webアプリケーション診断サービスなどによるネットワークの脆弱性診断などを展開するなど、官公庁・金融機関・一部上場企業を初めとする大手・中堅企業から中小企業に至るまで、多くの企業がセキュアなシステムを構築するための支援を首尾一貫して提供しています。
特に50名以下の管理者がいない法人(SMB)法人に対してセキュリティ+マネージドサービスを提供しています。
SMB市場でのセキュリティ機器&サービスは、提案、購入するだけでは、エンドユーザへの『真の導入には至らない』ため、システム管理者が不在でも、機器の運用、サービスの運用、 IT機器の活用方法、トラブル対応、リスク対応などを標準化した商品を提供しています。

株式会社アルテミス
https://www.artemis-jp.com/

株式会社アルテミス AUS便り
https://www.artemis-jp.com/wp/aus_arc/

関連リンク

知って得するセキュリティのはなし その6


コラム
/column/2019/img/thumbnail/img_33_s.jpg
- 2月26日(現地時間)、セキュリティ企業のEdgeSpot社より、Google ChromeのPDFリーダー機能に存在する未修正の脆弱性を突くPDFファイルが2018年12月から確認されているとして注意喚起が出されています。- 発表によれば、この不正なPDFファイルをPC上に保存した状態でChromeで開いた場合、PCのIPアドレス・OS・ChromeのバージョンおよびPDFファイルのローカルディスク上のパスといった情報がユーザの許可なく外部に送信されるとのことです。- Googleでは12月の時点で報告を受けており、4月下旬に修正を予定しているとのことです。
2019.03.13 16:22:52