Уязвимость в JavaScript-движке антивирусов Avast позволяет удаленно выполнить код на атакуемой системе.
Чешскому производителю решений безопасности Avast пришлось пойти на радикальный шаг и отключить в своих продуктах главный компонент из-за обнаруженной уязвимости, способной поставить под угрозу всех клиентов компании.
Опасная уязвимость была обнаружена в JavaScript-движке – компоненте антивирусных решений Avast, проверяющем, не является ли JavaScript-код вредоносным, перед его выполнением в браузере или почтовой программе.
По словам специалиста Google Тэвиса Орманди (Tavis Ormandy), несмотря на то, что движок обрабатывает недоверенные данные и имеет высокие привилегии, он не защищен песочницей. «Любая уязвимость в этом процессе является критической и может легко эксплуатироваться удаленными атакующими», - отметил исследователь.
Проэксплуатировать уязвимость очень легко. Достаточно лишь отправить жертве по электронной почте JavaScript- или WSH-файл или заставить ее открыть файл со встроенным вредоносным JavaScript-кодом. Когда антивирус Avast загрузит и запустит вредоносный JavaScript-код в своем движке, на компьютере жертвы может быть выполнена вредоносная операция с привилегиями системы. Таким образом, с помощью уязвимости злоумышленник может установить на атакуемом устройстве вредоносное ПО.
Компания Avast была уведомлена о проблеме 4 марта 2020 года, но все еще не исправила ее. 11 марта было принято решение временно отключить уязвимый компонент, пока не выйдет исправление. Дата релиза патча не уточняется.
Собираем и анализируем опыт профессионалов ИБ