Исследователь Google Project Zero Тевис Орманди (Tavis Ormandy) нашел проблему в очередном антивирусном продукте. Однако случай с Comodo Internet Security и браузером Chromodo отличается от прочих изысканий эксперта. В опубликованном бюллетене Орманди не просто описал уязвимость, он сообщил, что Comodo Internet Security – это плохо.

https://twitter.com/taviso/status/690335891366158336

Когда пользователь устанавливает приложение Comodo Internet Security, в комплекте ему навязывают и собственный браузер компании — Chromodo, работающий на базе Chromium и подающийся как защищенное решение. Метод распространения браузера уже вызывает некоторые вопросы, но основная проблема заключается совсем не в этом. Дело в том, что Chromodo автоматически импортирует все, что только может из Chrome, подменяет все ярлыки своими, а также переписывает настройки DNS. Причем пользователь о подмене даже не подозревает.

«Когда вы устанавливаете Comodo Internet Security, по умолчанию также инсталлируется браузер Chromodo, которой сам назначает себя браузером по умолчанию. Более того, все ярлыки подменяются ссылками на Chromodo, а все настройки, куки и так далее импортируются из Chrome. Помимо этих сомнительных практик, изменяются также настройки DNS. Фактически отключается вся веб-безопасность вообще. Позвольте мне повторить: они на *** вырубили политику одного источника [same origin policy]…. ?!?..», — пишет Орманди.

Возмущение Орманди понятно, отключенная SOP действительно не сулит пользователю ничего хорошего. В данном режиме окно браузера (и потенциальный вредоносный скрипт, открытый в нем) может взаимодействовать с другими приложениями, а также друг с другом могут взаимодействовать и разные вкладки.

Судя по переписке с разработчиками Comodo, опубликованной Орманди, компания уже выпустила исправление для данной проблемы. Однако эксперт отмечает, что патч получился весьма сомнительного качества, его легко обойти. Из-за этого Орманди создал новый баг репорт, касающийся плохо работающего патча, но исходную проблему отметил как «исправленную».

Фото: Tavis Ormandy



8 комментариев

  1. ishayahu

    05.02.2016 at 10:03

    Что-то я не понял. DNS настройки заменяются потому что Comodo сам это предалгает. Убери галочку — нет проблемы. Браузер тоже можно не ставить. Ярлыки он не заменял, на импорт внимания я не обращал
    Сто раз ставил и проблемы не видел.
    Но даже если это и так, в чём тут уязвимость-то?

    • Кравченко Глеб

      21.02.2016 at 20:01

      Если убрать галочку он установиться, ибо comodo по барабану на наше мнение, а ещё он забирает почти все такты процессора под себя.

  2. IdFox

    05.02.2016 at 13:52

    Уязвимость в том, что отключается Same Origin Policy для JavaScript
    Т.е как я понял все кроссдоменные ограничения снимаются
    Ну отсюда и весь пакет уязвимостей

    • IdFox

      05.02.2016 at 13:55

      Т.е заманив пользователя на свою левую страничку мы получаем контроль сразу над всеми вкладками открытыми
      Как вариант, читаем куки чужих сайтов )

  3. AlreXZ

    06.02.2016 at 15:31

    Проблема в Chromodo (кстати зачем его сделали, если есть Dragon и IceDragon), а раскричались на Сomodo Internet Security.
    Или Google, что лоббирует какой-то другой антивирусник.
    Вот в AusLogics BoostSpeed _8_, есть GASender.exe и GoogleAnaliticsHelper.dll, на кой они в «чистильщике»? Ведут себя, как вирусня, не дают удаляться и самовосстаавливаются, лезут в инет. При их удалении AusLogics не запускается.
    В принципе Сomodo Firewall !! ;)) их блокирует, но в реестре прописался ключ для GAsender удалить который можно в ручную либо антивирусом Comodo ;))

    • Averon

      08.02.2016 at 08:22

      Это единственный популярный антивирус, чью защиту HackedTeam обойти не смогла. Вот и бесятся.

  4. itjunky

    09.02.2016 at 14:39

Оставить мнение