Член команды Google Project ZeroТевис Орманди (Tavis Ormandy) обнаружил опасный баг в расширении AVG Web TuneUp для браузера Chrome. Компания AVG называет пользователям установку AVG Web TuneUp во время инсталляции собственного антивируса. Воспользовавшись уязвимостью, найденной Орманди, злоумышленники могут получить доступ к истории браузера, файлам cookie и так далее.

В своем баг-репорте Орманди пишет, что расширение AVG Web TuneUp установлено на компьютерах 9 млн пользователей Chrome. При этом продукт AVG уязвим перед XSS (cross-site scripting) атаками.

«Данное расширение добавляет в Chrome несколько JavaScript API, видимо, чтобы иметь возможность “подправить” настройки поиска и новой вкладки, — объясняет Орманди. — Процесс инсталляции запутанный, так как AVG приходится обходить защиту официального Chrome Web Store от вредоносного ПО, которая как раз должна предотвращать попытки нецелевого использования API расширений».

В ходе своих изысканий, Орманди выявил, что многие добавленные в браузер JavaScript API написаны из рук вон плохо, содержат баги и могут использоваться хакерами для получения доступа к личным данным пользователей.

Теоретически, XSS-уязвимость в расширении AVG может применяться злоумышленниками для получения данных с аккаунтов таких сервисов как Gmail, Yahoo, а также банковских сайтов.

Орманди пишет, что HTTPS в данном случае не спасает, так как расширение «отключает SSL».

Разработчики AVG уже устранили проблему, выпустив AVG Web TuneUp  4.2.5.169. Однако из-за данного инцидента компания Google заблокировала возможность потоковой инсталляции этого расширения. То есть пользователям, которые захотят установить AVG Web TuneUp, придется зайти в Chrome Web Store и установить расширение вручную.

В отношении компании AVG проводится расследование, так как в Google подозревают, что производитель антивирусных решений умышленно нарушил правила Chrome Web Store.

Фото: AVG

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии