AVG НАВЯЗЫВАЕТ ПОЛЬЗОВАТЕЛЯМ НЕБЕЗОПАСНОЕ РАСШИРЕНИЕ ДЛЯ CHROME

29.12.2015 | 13:41
Член команды Google Project ZeroТевис Орманди (Tavis Ormandy) обнаружил опасный баг в расширении AVG Web TuneUp для браузера Chrome. Компания AVG называет пользователям установку AVG Web TuneUp во время инсталляции собственного антивируса. Воспользовавшись уязвимостью, найденной Орманди, злоумышленники могут получить доступ к истории браузера, файлам cookie и так далее.

В своем баг-репорте Орманди пишет, что расширение AVG Web TuneUp установлено на компьютерах 9 млн пользователей Chrome. При этом продукт AVG уязвим перед XSS (cross-site scripting) атаками.

«Данное расширение добавляет в Chrome несколько JavaScript API, видимо, чтобы иметь возможность “подправить” настройки поиска и новой вкладки, — объясняет Орманди. — Процесс инсталляции запутанный, так как AVG приходится обходить защиту официального Chrome Web Store от вредоносного ПО, которая как раз должна предотвращать попытки нецелевого использования API расширений».
В ходе своих изысканий, Орманди выявил, что многие добавленные в браузер JavaScript API написаны из рук вон плохо, содержат баги и могут использоваться хакерами для получения доступа к личным данным пользователей.

Теоретически, XSS-уязвимость в расширении AVG может применяться злоумышленниками для получения данных с аккаунтов таких сервисов как Gmail, Yahoo, а также банковских сайтов.

Орманди пишет, что HTTPS в данном случае не спасает, так как расширение «отключает SSL».

Разработчики AVG уже устранили проблему, выпустив AVG Web TuneUp 4.2.5.169. Однако из-за данного инцидента компания Google заблокировала возможность потоковой инсталляции этого расширения. То есть пользователям, которые захотят установить AVG Web TuneUp, придется зайти в Chrome Web Store и установить расширение вручную.

В отношении компании AVG проводится расследование, так как в Google подозревают, что производитель антивирусных решений умышленно нарушил правила Chrome Web Store.
AVG, Chrome, Google, Новости, Уязвимости
По материалам xakep.ru
Лента новостей: FacebookLiveJournalЯндекс

Комментарии (0)
Оставьте комментарий:CaptchaОбновить проверочный код