Член команды Google Project ZeroТевис Орманди (Tavis Ormandy) обнаружил опасный баг в расширении AVG Web TuneUp для браузера Chrome. Компания AVG называет пользователям установку AVG Web TuneUp во время инсталляции собственного антивируса. Воспользовавшись уязвимостью, найденной Орманди, злоумышленники могут получить доступ к истории браузера, файлам cookie и так далее.
В своем баг-репорте Орманди пишет, что расширение AVG Web TuneUp установлено на компьютерах 9 млн пользователей Chrome. При этом продукт AVG уязвим перед XSS (cross-site scripting) атаками.
«Данное расширение добавляет в Chrome несколько JavaScript API, видимо, чтобы иметь возможность “подправить” настройки поиска и новой вкладки, — объясняет Орманди. — Процесс инсталляции запутанный, так как AVG приходится обходить защиту официального Chrome Web Store от вредоносного ПО, которая как раз должна предотвращать попытки нецелевого использования API расширений».
В ходе своих изысканий, Орманди выявил, что многие добавленные в браузер JavaScript API написаны из рук вон плохо, содержат баги и могут использоваться хакерами для получения доступа к личным данным пользователей.
Теоретически, XSS-уязвимость в расширении AVG может применяться злоумышленниками для получения данных с аккаунтов таких сервисов как Gmail, Yahoo, а также банковских сайтов.
Орманди пишет, что HTTPS в данном случае не спасает, так как расширение «отключает SSL».
Разработчики AVG уже устранили проблему, выпустив AVG Web TuneUp 4.2.5.169. Однако из-за данного инцидента компания Google заблокировала возможность потоковой инсталляции этого расширения. То есть пользователям, которые захотят установить AVG Web TuneUp, придется зайти в Chrome Web Store и установить расширение вручную.
В отношении компании AVG проводится расследование, так как в Google подозревают, что производитель антивирусных решений умышленно нарушил правила Chrome Web Store.
Фото: AVG
