Показать сообщение отдельно

Re: Продукты Avast - обсуждение
Старый 09.02.2016, 14:02   #895
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 260

kroxus вне форума

Продукты Avast - обсуждение


В браузере Avast SafeZone обнаружена опасная уязвимость

Ошибка позволяет похитить файлы cookie и пароли, а также выполнить несанкционированные действия от имени пользователя.

ИБ-специалист Google Тэвис Орманди (Tavis Ormandy) обнаружил серьезную уязвимость в браузере Avast SafeZone, поставляемом с платными версиями антивирусов Avast. Как сообщается на сайте проекта Google Project Zero, злоумышленник может получить полный контроль над обозревателем жертвы. Взломщику удастся похитить файлы cookie и пароли, а также выполнить несанкционированные действия от имени пользователя.

По данным исследователя, браузер создает RPC-службу на локальном компьютере, прослушивающую порт 27275. К службе можно получить доступ извне. Злоумышленник может перенаправить пользователя на вредоносный сайт и отправить на браузер запрос в формате http://localhost:27275/command.

Большинство доступных команд не представляют опасности, кроме SWITCH_TO_SAFEZONE. Данный запрос позволяет открыть в браузере произвольную URL, включая локальные и внутренние адреса наподобие file:/// или chrome://.

Как объясняет Орманди, разработчики Avast удалили из браузера «критическую проверку безопасности», не позволяющую открывать URL-схемы, не связанные с интернетом, через командную строку. В обозревателе Chromium данная проверка присутствует по умолчанию.

Орманди сообщил об ошибке разработчикам, и 18 декабря 2015 года Avast выпустила временное исправление. Обновленная версия браузера стала доступна для установки в среду, 3 февраля.

Источник
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика