Специалист Google Project Zero Тэвис Орманди (Tavis Ormandy)
обнаружил опасную уязвимость в антивирусе Avast. Проблема затрагивает
JavaScript-движок антивируса компании, который используется для анализа
JavaScript-кода на наличие вредоносных программ, прежде чем его
выполнение будет разрешено в браузере или почтовом клиенте.
Орманди пишет, что любые уязвимости в этом процессе являются
критическими и легки в эксплуатации для удаленных злоумышленников.
Причем по умолчанию JavaScript-движок функционирует не в песочнице.
В начале текущей недели эксперт обнародовал инструмент, который
он использовал для анализа антивируса Avast, и поведал об обнаруженной
проблеме. Так, оказалось, что достаточно отправить пользователю Avast
вредоносный JS- или WSH-файл по электронной почте или обманом вынудить
жертву получить доступ к вредоносному JavaScript. В результате, когда
антивирус загрузит и запустит вредоносный код JavaScript внутри
собственного кастомного движка, на компьютере будут выполнены
вредоносные операции с правами уровня SYSTEM (к примеру, в систему может
быть установлена малварь).
Хотя Орманди уведомил инженеров Avast о проблеме неделю назад, патча
для уязвимости по-прежнему нет. Зато разработчики антивируса решили временно отключить опцию антивирусного сканирования JavaScript, пока не будет готово исправление.
«В прошлую среду, 4 марта, эксперт из компании Google,
Тэвис Орманди, сообщил нам об уязвимости, затрагивающей один из наших
эмуляторов. Уязвимость потенциально могла быть использована для
удаленного выполнения кода. 9 марта он выпустил инструмент, который
значительно упростил анализ уязвимостей в эмуляторе.
Мы устранили [проблему], отключив эмулятор, чтобы обеспечить сотням
миллионов наших пользователей защиту от любых атак. Это не повлияет на
функциональность нашего продукта, основанного на нескольких уровнях
безопасности», — комментируют разработчики Avast изданию ZDNet.