Специалист Google Project Zero Тэвис Орманди (Tavis Ormandy) обнаружил опасную уязвимость в антивирусе Avast. Проблема затрагивает JavaScript-движок антивируса компании, который используется для анализа JavaScript-кода на наличие вредоносных программ, прежде чем его выполнение будет разрешено в браузере или почтовом клиенте.
Орманди пишет, что любые уязвимости в этом процессе являются критическими и легки в эксплуатации для удаленных злоумышленников. Причем по умолчанию JavaScript-движок функционирует не в песочнице.
В начале текущей недели эксперт обнародовал инструмент, который он использовал для анализа антивируса Avast, и поведал об обнаруженной проблеме. Так, оказалось, что достаточно отправить пользователю Avast вредоносный JS- или WSH-файл по электронной почте или обманом вынудить жертву получить доступ к вредоносному JavaScript. В результате, когда антивирус загрузит и запустит вредоносный код JavaScript внутри собственного кастомного движка, на компьютере будут выполнены вредоносные операции с правами уровня SYSTEM (к примеру, в систему может быть установлена малварь).
Хотя Орманди уведомил инженеров Avast о проблеме неделю назад, патча для уязвимости по-прежнему нет. Зато разработчики антивируса решили временно отключить опцию антивирусного сканирования JavaScript, пока не будет готово исправление.
«В прошлую среду, 4 марта, эксперт из компании Google, Тэвис Орманди, сообщил нам об уязвимости, затрагивающей один из наших эмуляторов. Уязвимость потенциально могла быть использована для удаленного выполнения кода. 9 марта он выпустил инструмент, который значительно упростил анализ уязвимостей в эмуляторе.
Мы устранили [проблему], отключив эмулятор, чтобы обеспечить сотням миллионов наших пользователей защиту от любых атак. Это не повлияет на функциональность нашего продукта, основанного на нескольких уровнях безопасности», — комментируют разработчики Avast изданию ZDNet.
"Мы приостановили один из уровней безопасности в антивирусе Avast, который называется эмулятор сценариев. Эмулятор сценариев — одна из наших технологий, которая используется для обнаружения расширенных и запутанных образцов вредоносного ПО. 9 марта исследователь опубликовал инструмент, с помощью которого можно попытаться найти (и, следовательно, использовать) уязвимости в эмуляторе сценариев. Приостановив эмулятор, мы не позволим злоумышленникам находить и эксплуатировать ошибки. У нас нет никаких свидетельств того, что эта ошибка была использована до приостановки. Важно отметить, что возможности защиты других уровней безопасности антивирусных продуктов не затрагиваются, поэтому пользователям не нужно предпринимать какие-либо действия со своим антивирусом. Avast готовит изменения к эмулятору сценариев и предоставит обновление при повторной активации эмулятора сценариев", -- сообщили ][ представители компании.
