Ευπάθεια στο AVG Web TuneUp του Chrome

Η επέκταση του Chrome AVG Web TuneUp που προστίθεται στο προγράμματα περιήγησης με την εγκατάσταση του AVG antivirus, περιείχε ένα σοβαρό σφάλμα που επέτρεψε στους επιτιθέμενους να αποκτήσουν το ιστορικό περιήγησης του χρήστη, τα cookies, και άλλα.AVG Web TuneUp Chrome

Η ευπάθεια ανακαλύφθηκε από τον ερευνητή ασφαλείας του Google Project Zero, Tavis Ormandy, ο οποίος συνεργάστηκε με την AVG τις τελευταίες δύο εβδομάδες για να διορθώσουν το πρόβλημα.

Όπως δήλωσε ο κ Ormandy στην έκθεσή του σφάλματος, η επέκταση AVG Web TuneUp, η οποία απαριθμεί πάνω από εννέα εκατομμύρια χρήστες στη σελίδα του Chrome Web Store, ήταν ευάλωτη σε XSS (cross-site scripting) επιθέσεις.

Οι επιτιθέμενοι που γνώριζαν αυτό το κενό ασφαλείας ήταν σε θέση να έχουν πρόσβαση στα cookies του χρήστη, το ιστορικό περιήγησης, καθώς και διάφορες άλλες λεπτομέρειες που εκτίθενται μέσω του Chrome.

Κατά τη διάρκεια της έρευνάς του, ο κ Ormandy ανακάλυψε ότι πολλά από τα custom JavaScript APIs, που προστίθενται στο Chrome από την επέκταση είναι υπεύθυνα για το σφάλμα, επιτρέποντας στους επιτιθέμενους να έχουν πρόσβαση σε προσωπικά στοιχεία.

Η νέα έκδοση 4.2.5.169 του AVG TuneUp Web επιλύει το ζήτημα. Εν τω μεταξύ, η Google μπλοκάρει το AVG να πραγματοποιήσει inline εγκαταστάσεις αυτής της επέκτασης. Αυτό σημαίνει ότι οι χρήστες που θέλουν να την εγκαταστήσουν θα πρέπει να την αναζητήσουν στο Chrome Web Store.

iGuRu.gr The Best Technology Site in Greecegns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.109 εγγεγραμμένους.

Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).