Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Новости IT AVG устанавливает уязвимое расширение браузера Chrome RSS

AVG устанавливает уязвимое расширение браузера Chrome

Текущий рейтинг: 5 (проголосовало 5)
 Посетителей: 887 | Просмотров: 996 (сегодня 0)  Шрифт: - +

Расширение AVG Web TuneUp Chrome устанавливалось в браузер Google Chrome в процессе установки антивируса AVG. В нём была обнаружена серьёзная уязвимость, которая позволяет хакерам получить доступ к истории браузера, куки-файлам и прочей персональной информации. Открытие было сделано исследователем из проекта Google Project Zero Тависом Орманди, который на протяжение последних двух недель работал с представителями AVG над решением проблемы.

Согласно сведениям на странице расширения в магазине Chrome Web Store, оно было скачано более 9 млн. раз, будучи уязвимым перед атаками типа XSS (межсайтовый скриптинг). Это расширение добавляет в Chrome ряд API на основе JavaScript. Сложный процесс установки помогает AVG обойти механизмы проверки магазина Chrome на наличие вредоносного кода.

Орманди обнаружил, что многие API на JavaScript уязвимы или работают не как задумано, открывая перед злоумышленниками доступ к персональным данным. Разработчики из AVG пренебрегли или не смогли уберечь пользователей от простых кроссдоменных запросов, позволяя выполнять хранимый на одних доменах код с использованием URL-адресов других доменов.

Теоретически это открывает доступ к данным сайтов вроде Gmail, Yahoo, банковских сайтов и т.д. Атакующим нужно только убедить пользователей перейти по определённому URL-адресу. Уязвимы даже сайты с использованием протокола HTTPS, поскольку расширение отключает шифрование SSL. Проблема была закрыта в версии расширения 4.2.5.169. Google закрыла возможность устанавливать его в комплекте с антивирусом, так что теперь нужно целенаправленно идти за ним в магазин Chrome. Сейчас действия AVG рассматриваются на предмет нарушения политики магазина Web Store.

Автор: Алексей Алтухов  •  Иcточник: news.softpedia.com  •  Опубликована: 29.12.2015
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.