Firefoxなどのブラウザで閲覧した場合、PDFの暗号化を突破されてしまう

以下の表のうち、「Attack A」がDirect Exfiltration、BがCBC Gadgetsを指しています。また、「〇」の記号は被害が発生しないこと、「●」の記号はユーザーが何もしなくても被害が発生すること、半円のみ黒い記号はユーザーの操作を起点に被害が発生することを意味しています。
f:id:nonbei:20191020011833p:plain

PDFexの脅威は「部分的な暗号化」や「整合性をチェックしない暗号利用モード」というPDFの基本的な仕様に根差しており、これらは2017年に公開された最新のPDF 2.0にも採用されていることから、当面は根本的な原因の解決が見込めません。

研究チームは「この問題に対応するには、新しいPDFの仕様の策定と強固な暗号形式による修正が必要不可欠です」と述べて、抜本的な見直しが急務であるとの見方を示しました。


ソ-ス:PDFファイルを開くだけで暗号化された内容が流出する脆弱性「PDFex」が発見される - GIGAZINE