Показать сообщение отдельно

re: Посоветуйте Антивируc
Старый 29.12.2015, 12:54   #946
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 562

kroxus вне форума

Посоветуйте Антивируc


AVG навязывает пользователям небезопасное расширение для Chrome

Член команды Google Project ZeroТевис Орманди (Tavis Ormandy) обнаружил опасный баг в расширении AVG Web TuneUp для браузера Chrome. Компания AVG называет пользователям установку AVG Web TuneUp во время инсталляции собственного антивируса. Воспользовавшись уязвимостью, найденной Орманди, злоумышленники могут получить доступ к истории браузера, файлам cookie и так далее.

В своем баг-репорте Орманди пишет, что расширение AVG Web TuneUp установлено на компьютерах 9 млн пользователей Chrome. При этом продукт AVG уязвим перед XSS (cross-site scripting) атаками.

«Данное расширение добавляет в Chrome несколько JavaScript API, видимо, чтобы иметь возможность “подправить” настройки поиска и новой вкладки, — объясняет Орманди. — Процесс инсталляции запутанный, так как AVG приходится обходить защиту официального Chrome Web Store от вредоносного ПО, которая как раз должна предотвращать попытки нецелевого использования API расширений».

В ходе своих изысканий, Орманди выявил, что многие добавленные в браузер JavaScript API написаны из рук вон плохо, содержат баги и могут использоваться хакерами для получения доступа к личным данным пользователей.

Теоретически, XSS-уязвимость в расширении AVG может применяться злоумышленниками для получения данных с аккаунтов таких сервисов как Gmail, Yahoo, а также банковских сайтов.

Орманди пишет, что HTTPS в данном случае не спасает, так как расширение «отключает SSL».

Разработчики AVG уже устранили проблему, выпустив AVG Web TuneUp 4.2.5.169. Однако из-за данного инцидента компания Google заблокировала возможность потоковой инсталляции этого расширения. То есть пользователям, которые захотят установить AVG Web TuneUp, придется зайти в Chrome Web Store и установить расширение вручную.

В отношении компании AVG проводится расследование, так как в Google подозревают, что производитель антивирусных решений умышленно нарушил правила Chrome Web Store.

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика