Специалисты компании SafeBreach обнаружили уязвимость в браузере Maxthon. Малварь может использовать один из компонентов браузера в своих целях, получая права администратора и устойчивое присутствие в системе. Ситуация осложняется тем, что браузер имеет огромную пользовательскую базу: согласно официальному сайту, Maxthon установлен на 670 000 000 компьютеров, большинство из которых – это Windows-системы, расположенные в Китае.
Уязвимость получила идентификатор CVE-2019-16647 и относится к типу unquoted service path. Подобные проблемы возникают тогда, когда разработчик запускает приложение из другого приложения, используя для этого корректный, но «неочищенный» путь, содержащий пробелы (но не заключенный в кавычки должным образом).
В случае Maxthon основное приложение браузера загружает дополнительную службу MxService.exe, используя путь C:\Program Files (x86)\Maxthon5\Bin\MxService.exe. Наличие пробела в «Program Files» позволяет злоумышленнику разместить вредоносный файл в C:\Program.exe. В итоге ОС сначала попытается загрузить приложение из C:\Program.exe, прежде чем загрузить MxService.exe, используя верный путь.
Поскольку Maxthon запускает MxService.exe после каждой загрузки ОС и имеет права уровня SYSTEM, уязвимость позволяет злоумышленникам получить права администратора на каждой зараженной машине, где установлен Maxthon.
По информации SafeBreach, проблема затрагивала все версии Maxthon 5.x, включая наиболее свежий выпуск. Исследователи уведомили разработчиков Maxthon о проблеме еще в начале сентября. В настоящее время баг уже исправлен в бета-версии Maxthon 5.3.8.1600, а стабильный релиз должен появиться на следующей неделе.